Законопроект-спутник к закону о «регуляторных песочницах»: «за» и «против» текущей редакции. Часть 1 (2)

Законопроект-спутник к закону о «регуляторных песочницах»: «за» и «против» текущей редакции. Часть 1 (2)

В юридическом сообществе не утихают дискуссии вокруг проекта Федерального закона, который позволит отменить тайну связи, врачебную тайну и основной блок прав субъектов ПДн по Федерального закона «О персональных данных» («Закон о ПДн») в рамках экспериментальных правовых режимовЗаконопроект»).

Здесь приведён обзор Законопроекта. В частности, обсуждается статья 2 Законопроекта, касающаяся изъятий из Закона о ПДн. Поскольку обзор будет достаточно подробным, статья будет разделена на несколько блоков:

  1. Что из себя представляет Законопроект (своеобразная «предыстория»);
  2. Какие есть аргументы «против» текущей редакции Законопроекта;
  3. Есть ли альтернатива предложенной редакции;
  4. Какие аргументы «за» заявляют сторонники текущей редакции Законопроекта.

При подготовке обзора автор исходит из худшего сценария. То есть автор исходит из того, что если кто-то захочет как-то злоупотребить нормами Законопроекта, этот кто-то воспользуется такой возможностью. Соответственно, аргументы, приведённые «против», заявляются не с целью «утопить» Законопроект критикой, а выявить риски, которые стоит и можно минимизировать.

1. Предыстория. О чём вообще Законопроект?

Законопроект – один из «спутников» к недавно подписанному Федеральному закону от 31.07.2020 № 258-ФЗ «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации» («Закон об ЭПР»). Поэтому в обзоре будет использовано много терминов из данного Закона об ЭПР.

Законопроект предусматривает возможность изъятий из:

  • Закона о ПДн;
  • ФЗ «О связи»; и
  • ФЗ «Об охране здоровья граждан в Российской Федерации»

в отношении участников экспериментального правового режима («ЭПР»), если такие изъятия предусмотрены соответствующей программой экспериментального режима («Программа Эксперимента»).

На данный момент Законопроект разрабатывается с учётом двух проектов. В частности:

На данный момент Законопроект разрабатывается с учётом двух проектов. В частности:

  • проект по внедрению системы поддержки принятия врачебных решений, использующих технологии ИИ;
  • проект сервиса для малого и среднего бизнеса по подбору оптимальных сфер и мест деятельности на базе больших данных (стр. 2 – 3 Пояснительной записки к Законопроекту).

Цель Законопроекта – по возможности избавить бизнес от необходимости получать согласие на обработку ПДн. Причина – получить «бесшовное» согласие на обработку ПДн практически невозможно, а обрабатывать ПДн без такого согласия недопустимо.

В данном обзоре мы не будем останавливаться на статьях Законопроекта, позволяющих отменять тайну связи и врачебную тайну. Вместо этого мы детально обсудим статью 2 Законопроекта, так что все ссылки на Законопроект в дальнейшем будут подразумевать ссылку на эту статью.

Поправки, вводимые данной статьёй, позволяют субъекту экспериментального правового режима («Субъект ЭПР»), если это предусмотрено Программой Эксперимента:

  • обрабатывать персональные данные («ПДн») каким-либо образом без какого-либо согласия участника экспериментального правового режима («Участник ЭПР») (см. ч. 1 ст. 6 Закона о ПДн);
  • передавать ПДн третьим лицам без согласия Участников ЭПР (см. ч. 3 ст. 6 Закона о ПДн);
  • объединять базы полученных ПДн, полученные для несовместимых друг с другом целей обработки (см. ч. 3 ст. 5 Закона о ПДн);
  • обрабатывать ПДн для целей, о которых не знает Участник ЭПР (см. ч. 2 ст. 5 Закона о ПДн); а также
  • лишают Участника ЭПР возможности каким-либо образом воздействовать на Субъекта ЭПР как на оператора персональных данных. В частности – Участник ЭПР не может отказаться от обработки его/её ПДн (см. ст. 9 Закона о ПДн).
При этом рассматриваемые изъятия:
  • могут распространяться на специальные и биометрические ПДн (см. ст.ст. 10, 11 Закона о ПДн);
  • допускают обработку ПДн недееспособных лиц без согласия таких лиц или их законных представителей (см. ч. 6 ст. 9 Закона о ПДн).

Теперь перейдём непосредственно к критике Законопроекта.

2. Что не так с Законопроектом?

Претензий к Законопроекту достаточно много. Ниже приведена часть критических замечаний к нему. Всю аргументацию можно разбить на несколько блоков:

  • В чём «жизненные» проблемы Законопроекта – к каким практическим трудностям он приведёт;
  • Фундаментальные правовые проблемы (почему Законопроект противоречит Конституции РФ и Конвенции СЕ о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28.01.1981) («Конвенция Совета Европы»);
  • Почему Законопроект противоречит самому Закону об ЭПР;
  • Почему Законопроект в текущей редакции не будет работать.

Мы рассмотрим в бОльших подробностях эти блоки ниже.

2.1. Практические проблемы Законопроекта

Здесь мы обратим внимание ключевые практические трудности, к которым приведёт Законопроект. Это нужно нам в качестве некой «системы координат», которую мы будем потом учитывать, рассматривая сугубо правовые трудности.

Итак, начнём.

Во-первыхЗаконопроект допускает лишение граждан целого блока их прав

Учитывая положения текущей редакции Закона об ЭПР, Программа Эксперимента, содержащая рассматриваемые изъятия, потенциально лишает возможности защитить свои ПДн не только Участников ЭПР (в значении, данном п. 14 ст. 2 Закона об ЭПР), но и третьих лиц, не являющихся Участниками ЭПР и данные о которых могут быть переданы от Участника ЭПР Субъекту(ам) ЭПР.

Пример: родственники лица, сведения о которых, в том числе о состоянии их здоровья, участник ЭПР сообщает субъекту ЭПР для экспериментального лечения своей болезни.

При этом, если толковать ч. 5 ст. 19 Закона об ЭПР буквально, Субъект ЭПР даже не обязан получать согласие от третьих лиц на обработку их ПДн: оказывается, достаточно лишь уведомить о факте таких действий.

Получается, что в случае принятия Законопроекта в текущей редакции  Программа Эксперимента, содержащая изъятия из Закона о ПДн, начинает косвенно распространяться и на третьих лиц, не являющихся участниками ЭПР. И такие субъекты оказываются:

  • лишены возможности как-то возразить против обработки их ПДн, в том числе распространению этих данных третьим лицам;
  • исходя из действующих редакций - оказываются поставлены в известность об обработке их данных лишь по факту такой обработки (см. ч. 5 ст. 19 Закона об ЭПР).

Во-вторыхЗаконопроект не требует обезличивать ПДн, которые обращались бы среди Участников и Субъектов ЭПР

Законопроект без какой-либо необходимости «молчит» об обязательном обезличивании передаваемых ПДн. При этом какой-либо причины на столь вольное обращение с обезличенными ПДн Участников Эксперимента нет. Это открывает Участникам ЭПР и Субъектам ЭПР большое окно для злоупотреблений.

Пример: гипотетический случай с сообщением от Участника ЭПР Субъекту ЭПР недостоверных сведений о состоянии здоровья пациента – другого Участника ЭПР. Если сообщаются ложные сведения о конкретном физическом лице (группа крови, индивидуальная непереносимость, наличие или отсутствие заболеваний) лечение с использованием ИИ может привести к негативным последствиям, вплоть до смертельного исхода.

Равным образом текущая версия поправок позволяет Участникам ЭПР безнаказанно распространять порочащие репутацию сведения об других Участниках ЭПР (и при буквальном прочтении правок – о третьих лицах).

Теперь мы рассмотрим, какие сугубо правовые проблемы возникают в связи с этим.

2.2. Фундаментальные проблемы Законопроекта: противоречие Конституции РФ и Конвенции Совета Европы

Какие основные нормы нарушаются Законопроектом?

Во-первых, нарушаются ст.ст. 2324 Конституции Российской Федерации

Рассматриваемые изъятия существенно нарушают права участников ЭПР, а также потенциально – третьих лиц, на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Также подобные изъятия потенциально нарушают принцип недопустимости сбора, хранения, использования и распространения информации о частной жизни лица без его согласия.

В поддержку указанного довода см. Определение КС РФ от 24.12.2013 № 2128-О, Определение КС РФ от 09.07.2005 № 248-О, Определение КС РФ от 26.12.2010 № 158-О-О. Исходя из указанных Определений:

«…право на неприкосновенность частной жизни, личную и семейную тайну означает предоставленную человеку и гарантированную государством возможность контролировать информацию о самом себе, препятствовать разглашению сведений личного, интимного характера…».

Во-вторых, нарушаются ст.ст. 4 - 8 Конвенции Совета Европы

Положения Конвенции Совета Европы обязывают РФ совершенствовать своё законодательство таким образом, чтобы:

  • ПДн обрабатывались на справедливой и законной основе;
  • ПДн не обрабатывались каким-либо образом, не соответствующим определённым и законным целям их обработки (ст. 4, п.п. a, b ст. 5 Конвенции Совета Европы).
  • обрабатываемые ПДн были «адекватными, относящимися к делу и не чрезмерными для целей их хранения»;
  • такие ПДн были «точными, и, когда это необходимо, обновлялись»;
  • указанные ПДн «сохранялись в форме, позволяющей идентифицировать субъекты данных, не дольше, чем это требуется для целей хранения этих данных».

При этом любому лицу должна быть предоставлена возможность контроля за обработкой своих ПДн (ст. 8 Конвенции Совета Европы).

Отсутствие гарантий, что право РФ может соответствовать указанным выше требованиям, исключает возможность какой-либо автоматизированной обработки специальных категорий ПДн (ст. 6 Конвенции Совета Европы).

Как видно из содержания статьи 2 Законопроекта, комментируемая статья прямо противоречит обязательствам России, принятым на основании Конвенции Совета Европы.

Помимо таких фундаментальных сложностей с Законопроектом возникает парадоксальная ситуация, когда Законопроект, призванный обеспечить максимально «плавную» реализацию Закона об ЭПР, противоречит самому Закону об ЭПР. Это рассмотрено ниже.

2.3. Почему Законопроект противоречит Закону об ЭПР

В случае установления ЭПР изъятия из Закона о ПДН устанавливаются Программой Эксперимента.

В отношении таких изъятий Закон об ЭПР устанавливает ряд ограничений (п. 1, 3 ст. 5 Закона об ЭПР). В числе них:

  • недопустимость ограничения или любого умаления конституционных прав и свобод граждан;
  • обеспечение безопасности личности, общества и государства;
  • прозрачность и открытость ЭПР;
  • минимизация отступлений от общего регулирования (см. ст. 4 Закона об ЭПР).

То есть Закон об ЭПР устанавливает определённые требования к Программам Эксперимент, своеобразный «норматив», которым должны соответствовать любые Программы Эксперимента. И этот «норматив» весьма высок.

Законопроект рассматривается как «спутник» Закона об ЭПР, то есть Законопроект разрабатывается для того, чтобы обеспечить работу Закона об ЭПР.  Однако обсуждаемые поправки в Закон о ПДн делают прямо противоположное: они сводят к минимуму требования «норматива», установленные Законом об ЭПР.

Это в корне противоречит ст. 4 Закона об ЭПР. Ниже мы рассмотрим, какие именно положения будут нарушены.

Во-первых, нарушается принцип недопустимости ограничения или любого умаления конституционных прав и свобод граждан

Причины продемонстрированы в ч. 2.1. - 2.2. данного обзора.

Во-вторых, нарушается принцип обеспечения безопасности личности, общества и государства

Одна из ключевых целей комментируемого законопроекта – дать расширенные возможности для тестирования и применения средств медицины и телемедицины.

При этом рассматриваемая норма Законопроекта вкупе с текущей редакцией Закона об ЭПР допускает ситуацию, когда Участники ЭПР и Субъекты ЭПР могут практически беспрепятственно распространять необезличенные ПДн как Участников ЭПР, так и третьих лиц.

Представим ситуацию, в которой Участник ЭПР сообщает недостоверные сведения о состоянии здоровья третьего лица или даже другого Участника ЭПР. Подобные недостоверные сведения могут быть учтены в качестве «вводных» данных, характеризующих пациента, в отношении которого должен быть поставлен диагноз. И факт включения подобных сведений может привести к негативным последствиям в ходе лечения данного пациента (вплоть до летального исхода).

В-третьих, нарушается принцип прозрачности и открытости ЭПР

Участник ЭПР не в состоянии получить достоверные сведения об обработке его/её ПДн. При этом буквальное толкование рассматриваемой нормы законопроекта превращает Программу Эксперимента в «лазейку» для распространения ПДн третьих лиц без их согласия. Сами третьи лица также не могут получить достоверные сведения об обработке их ПДн (в случае буквального толкования). Поэтому Программа Эксперимента с такими изъятиями из Закона о ПДн не позволяет создать прозрачный и открытый ЭПР.

В четвёртых, нарушается запрет на минимизацию отступлений от общего регулирования

В Законе об ЭПР прописано, что Программа Эксперимента должна минимально вмешиваться в общее регулирование. А Законопроект предусматривает обратное – допускает практически полную отмену целого блока прав граждан Программой Эксперимента.

Изъятия, предусмотренные рассматриваемой нормой, будут противоречить принципу минимизации и в корне противоречат Закону об ЭПР.

Напомним, что в данном случае речь и идёт не о конкретных Программах Эксперимента, а о качественных требованиях к таким Программам. Как показано выше, качественные требования, которые допускает Законопроект, в корне отличаются от качественных требований Закона об ЭПР.

Помимо этого, возникают вопросы к работоспособности Законопроекта. Они рассмотрены ниже.

2.4. Почему Законопроект не будет нормально работать

Недостаточно написать «красивый» закон. Закон должен выполнять цели, для которых он был разработан. Также крайне желательно, чтобы он не привёл к «завалу» судов исками, которые не подавались бы без принятия такого закона. И при этом закон не должен противоречить положениям международных договоров, иначе в случае коллизии закон не будет применяться.

В текущей редакции Законопроект, в случае его принятия, не будет работать. Ниже рассмотрим, почему это так.

Во-первых, Законопроект не выполнит поставленной перед ним задачи. Количество бумаг не сократится

Здесь нужно учитывать два обстоятельства.

Обстоятельство № 1: Бизнес всё равно начнёт получать подпись Участников ЭПР под уведомлением о положениях ЭПР

Физическое лицо, заключающее договор с Субъектом ЭПР и уведомлённое об ЭПР, соглашается с положениями специального регулирования и становится тем самым Участником ЭПР (ч. 3 ст. 19 Закона об ЭПР).

Ч. 2 ст. 19 Закона об ЭПР обязывает такого Субъекта ЭПР уведомить физическое лицо обо всех особенностях специального регулирования.

То есть предполагается, что на момент заключения договора с Субъектом ЭПР физическое лицо в любом случае уведомляется об особенностях обработки его/её ПДн.

Как показывает практика, в таком случае, скорее всего, Субъекты ЭПР будут:

  • включать текст уведомления об особенностях специального регулирования (в т.ч. в контексте обработки ПДн) в текст договора с потенциальным Участником ЭПР; либо
  • получать подпись потенциального Участника ЭПР под отдельным документом – уведомлением.

Это будет нужно им, чтобы подтвердить документальное уведомление Участника ЭПР.

Обстоятельство № 2: Для вынесения, скажем, диагноза пациенту искусственным интеллектом всё равно потребуется письменное согласие физического лица

Текущая редакция Законопроекта оставляет без изменения ст. 16 Закона о ПДн. А в соответствии с данной статьёй:

  • запрещается принятие какого-либо решения в отношении лица на основании исключительно автоматизированной обработки его ПДн. То есть по умолчанию ИИ не может поставить диагноз сам. Конечный диагноз может поставить только человек;
  • допустимо получить письменное согласие физического лица на «автоматизацию» решения в отношении него. Но такое согласие обязательно должно быть оформлено в письменном виде. То есть Законопроект не выполняет одну из своих целей – избавить бизнес от бумажной волокиты с получением согласий на обработку ПДн. Напротив, Законопроект подразумевает ещё бОльшее увеличение бумажных документов;
  • пациент вправе возразить против своего же согласия, а оператор обязан рассмотреть и обсудить такое возражение с пациентом.

То есть, например, в рамках проекта по диагностике с помощью ИИ:

  • либо пациент даёт письменное согласие на сугубо автоматизированный диагноз – тогда теряется смысл Законопроекта;
  • либо конечный диагноз ставит человек – тогда участие в ЭПР не даёт пациенту ровным счётом никакой пользы.

Вывод: в любом случае так или иначе Участник ЭПР даёт согласие на обработку его ПДн. В связи с этим предлагаемые поправки (в текущей редакции) видятся излишними.

Во-вторых, Законопроект приведёт к спорам об оспаривании согласий на участие в ЭПР

Теоретически предоставление ПДн Участником ЭПР Субъекту ЭПР можно рассматривать как встречное предоставление по сделке. Однако в контексте эксперимента по медицинской диагностике с использованием ИИ Участник ЭПР вынужден соглашаться на условия ЭПР в любом случае, так как часто у него/неё может не быть иного выхода.

Например: если единственная возможность вылечить какое-либо заболевание, травму и т.п. подразумевает участие в таком эксперименте по применению ИИ. В таких (и менее напряжённых ситуациях) Участники ЭПР поставлены перед выбором между потерей контроля за своими ПДн и собственной жизнью/здоровьем.

В связи с этим есть риск возникновения существенного числа судебных споров по оспариванию подобных сделок на основании кабальности (п. 3 ст. 179 ГК РФ).

Предпосылки к подобному подходу у судов уже есть. Например, в АС СЗО в Постановлении от 18.07.2016 № Ф07-5537/2016 по делу № А44-9647/2015 высказался о недопустимости включения согласия на обработку ПДн в текст договора присоединения. Причина: субъект ПДн оказывается поставлен перед жёсткими условиями: лицо вынуждено отказываться от передачи своих ПДн, чтобы как-то присоединиться к договору. Ниже приведена цитата из решения:

«Таким образом, отсутствие у потребителя права выбора возможности согласия или отказа в согласии на обработку персональных данных ущемляет права потребителей, что в силу статьи 16 Закона № 2300-1 свидетельствует об их недействительности в этой части.

…поскольку потребитель является экономически более слабой стороной, то предоставление ему полной и достоверной информации, необходимой для принятия самостоятельного решения, является важным условием, обеспечивающим соблюдение его прав…».

Помимо этого, в силу противоречий положений Законопроекта и неравенства переговорных сил Участников ЭПР (физических лиц) и Субъектов ЭПР могут возникнуть риски оспариваний на основании ст.ст. 168169 и 179 ГК РФ.

В-третьих, предлагаемые поправки не будут действовать в силу приоритета положений Конвенции Совета Европы

Ранее было доказано, что рассматриваемая норма законопроекта противоречит ст.ст. 4, 5, 6, 8 Конвенции Совета Европы.

Даже если комментируемая норма Законопроекта позволит Программе Эксперимента исключать нормы Закона о ПДн, эта норма не отменяет указанные выше положения Конвенции Совета Европы. Напротив, положения Конвенции Совета Европы будут иметь приоритет (ч. 4 ст. 15 Конституции РФ).

Поскольку комментируемая норма Законопроекта противоречит Конвенции Совета Европы, даже сам факт внесения поправок в Закон о ПДн не будет иметь силы в силу приоритета норм указанной Конвенции.

Часть 2 обзора.

_________________

Проект доступен по ссылке: https://regulation.gov.ru/projects#npa=106119