Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет

Новая 
парадигма
защиты 
и управления
персональными 
данными

в российской Федерации 
и зарубежных странах 
в условиях развития систем 
обработки данных 
в сети интернет

Издательский дом Высшей школы экономики 
Москва 2018

Под редакцией директора Института проблем 
правового регулирования НИУ ВШЭ,
канд. юрид. наук А.С. Дупан (Гутниковой)

ВЫСШАЯ ШКОЛА ЭКОНОМИКИ
НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТ

2-е издание (электронное)

УДК 342.7: 004.738.5.056.5
ББК 67.404.3
Н72
Авторский коллектив:
директор Института проблем правового регулирования НИУ ВШЭ, канд. юрид. наук 
А. С. Дупан (Гутникова) (подразд. 1.11, гл. 3, подразд. 5.1.3, 5.2, 5.8, 6.1 (совместно 
с С. В. Титовой), 6.4, 6.5, гл. 8 (совместно с А. Б. Жулиным)); заместитель заведующего кафедрой инновации и бизнеса в сфере ИТ факультета бизнес- информатики НИУ ВШЭ, канд. 
юрид. наук, доцент А. К. Жарова (подразд. 1.3, 1.7); заместитель заведующего кафедрой информационной безопасности факультета бизнеса и менеджмента НИУ ВШЭ, канд. пед. 
наук В. М. Елин (подразд. 1.10); директор Центра анализа деятельности органов исполнительной власти ИГМУ НИУ ВШЭ, канд. экон. наук А.Б. Жулин (гл. 8 совместно 
с А. С. Дупан (Гутниковой)); научный сотрудник Института проблем правового регулирования НИУ ВШЭ Ю. С. Бикбулатова (подразд. 1.1, 2.1.2, 2.2.1 (совместно 
с Т. И. Бикбулатовым), 5.1.4, 5.7, гл. 7); научный сотрудник Института проблем правового 
регулирования НИУ ВШЭ Т. И. Бикбулатов (подразд. 1.2, 1.9, 2.2.1 (совместно 
с Ю. С. Бикбулатовой)); аналитик Института проблем правового регулирования НИУ ВШЭ 
С. В. Титова (подразд. 1.5, 1.6, 1.8, 2.1.1, 2.1.3, 2.2.2, 2.3, 5.1, 5.1.1, 5.1.2, 5.3–5.6, 6.1 
(совместно с А. С. Дупан (Гутниковой), 6.2, 6.3); адвокат Германии (Германия, Kollegienwall, 
24, 49074 Osnabrück) Д. Римша (подразд. 1.4).

Н72
Новая парадигма защиты и управления персональными данными в 
Российской Федерации и зарубежных странах в условиях развития систем 
обработки данных в сети Интернет [Электронный ресурс] / под ред. 
А. С. Дупан ; Нац. исслед. ун-т «Высшая школа экономики». — 2-е изд. 
(эл.). — Электрон. текстовые дан. (1 файл pdf : 343 с.). — М. : Изд. дом Высшей школы экономики, 2018. — Систем. требования: Adobe Reader XI либо 
Adobe Digital Editions 4.5 ; экран 10".
ISBN 978-5-7598-1475-7
В монографии представлено исследование актуальных проблем регулирования 
отношений по оказанию услуг операторами доверенных сервисов (прежде всего 
идентификация и аутентификация лиц при электронном взаимодействии) и по доверительному управлению информацией на международном уровне, в зарубежных 
странах и в Российской Федерации, а также проблем защиты персональных данных 
в Интернете, в том числе в условиях применения новых методов обработки больших 
массивов данных и использования технологии облачных вычислений.
Книга адресована сотрудникам государственных органов, осуществляющих 
регулирование информационных отношений и (или) обеспечивающих защиту персональных данных, и компаний, являющихся операторами доверенных сервисов, 
оказывающих услуги по обработке больших массивов данных, предоставляющих 
услуги с помощью Интернета, а также операторам персональных данных. Она будет 
интересной и при изучении курса информационного права в учреждениях высшего 
образования.
УДК 342.7: 004.738.5.056.5 
ББК 67.404.3
Деривативное электронное издание на основе печатного издания: Новая парадигма 
защиты и управления персональными данными в Российской Федерации и зарубежных 
странах в условиях развития систем обработки данных в сети Интернет [Текст] / под ред. 
А. С. Дупан ; Нац. исслед. ун-т «Высшая школа экономики». — М. : Изд. дом Высшей 
школы экономики, 2016. — 342 с. — ISBN 978-5-7598-1386-6.

В соответствии со ст. 1299 и 1301 ГК РФ при устранении ограничений, установленных техническими средствами защиты авторских прав, правообладатель вправе требовать от нарушителя возмещения убытков или выплаты компенсации.

ISBN 978-5-7598-1475-7
© Национальный исследовательский университет 

«Высшая школа экономики», 2016

© Оформление. Издательский дом Высшей школы 

экономики, 2016

Содержание

Предисловие ......................................................................................................11

1. НОВЫЕ ПОДХОДЫ К РЕГУЛИРОВАНИЮ ПЕРСОНАЛЬНЫХ
ДАННЫХ В ЕВРОПЕ, США И В ИНЫХ ЗАРУБЕЖНЫХ СТРАНАХ ........13

1.1. Европейский союз .................................................................................13
1.1.1. Регулирование ...............................................................................13
1.1.2. Определение персональных данных ............................................14
1.1.3. Субъекты отношений в области обеспечения 
конфиденциальности персональных данных ...................................... 20
1.1.4. Ответственность за нарушения в области персональных 
данных и запрет на передачу данных третьим лицам.......................... 24
1.1.5. Режим защиты персональных данных при обработке 
больших данных, позволяющих при сопоставлении получать 
персональные данные .......................................................................... 25
1.1.6. Регулирование порядка анализа результатов 
обработки данных (метаданных) ..........................................................27
1.1.7. Правовое обеспечение защиты данных .......................................27
1.1.8. Регулирование вопроса о наследовании прав 
на персональные данные ...................................................................... 30
1.1.9. Уполномоченный орган по защите субъектов 
персональных данных и его функции  ..................................................31
1.1.10. Регулирование таргетированной (адресной, основанной 
на персональных данных и запросах лица) рекламы  ......................... 34
1.1.11. Порядок трансграничной передачи персональных 
данных ................................................................................................... 35

1.2. Совет Европы ....................................................................................... 49
1.2.1. Регулирование  ............................................................................. 49
1.2.2. Определение персональных данных ........................................... 53
1.2.3. Субъекты отношений в области обеспечения 
конфиденциальности персональных данных ...................................... 54
1.2.4. Ответственность за нарушения в области персональных 
данных и запрет на передачу данных третьим лицам.......................... 56

Новая парадигма защиты и управления персональными данными в Российской Федерации 
и зарубежных странах в условиях развития систем обработки данных в сети Интернет

1.2.5. Режим защиты персональных данных при обработке 
больших данных, позволяющих при сопоставлении получать 
персональные данные .......................................................................... 58
1.2.6. Регулирование порядка анализа результатов 
обработки данных (метаданных) ......................................................... 59
1.2.7. Уполномоченный орган по защите субъектов 
персональных данных и его функции  ................................................. 60
1.2.8. Регулирование таргетированной (адресной, основанной 
на персональных данных и запросах лица) рекламы .......................... 61
1.2.9. Трансграничная передача данных .............................................. 62

1.3. Великобритания ................................................................................... 62
1.3.1. Регулирование .............................................................................. 62
1.3.2. Определение персональных данных ........................................... 65
1.3.3. Субъекты отношений в области обеспечения 
конфиденциальности персональных данных ...................................... 66
1.3.4. Ответственность за нарушения в области персональных 
данных и запрет на передачу данных третьим лицам...........................67
1.3.5. Регулирование порядка анализа результатов обработки 
данных (метаданных) ........................................................................... 69
1.3.6. Правовое обеспечение защиты данных ......................................71
1.3.7. Системы удаленного распределенного управления 
данными и их регламентация в национальном законодательстве .......72
1.3.8. Уполномоченный орган по защите субъектов 
персональных данных и его функции .................................................. 77
1.3.9. Трансграничная передача данных ...............................................78

1.4. Германия ................................................................................................78
1.4.1. Регулирование ...............................................................................78
1.4.2. Определение персональных данных ........................................... 83
1.4.3. Субъекты отношений в области обеспечения 
конфиденциальности персональных данных ...................................... 85
1.4.4. Ответственность за нарушения в области персональных 
данных и запрет на передачу данных третьим лицам.......................... 86
1.4.5. Правовое обеспечение защиты данных ..................................... 87
1.4.6. Регулирование вопроса о наследовании прав 
на персональные данные ...................................................................... 88
1.4.7. Уполномоченный орган по защите субъектов персональных 
данных и его функции .......................................................................... 89

Содержание

1.5. Нидерланды .......................................................................................... 89
1.5.1. Регулирование .............................................................................. 89
1.5.2. Определение персональных данных ........................................... 90
1.5.3. Субъекты отношений в области обеспечения 
конфиденциальности персональных данных .......................................91
1.5.4. Ответственность за нарушения в области персональных 
данных и запрет на передачу данных третьим лицам.......................... 94
1.5.5. Регулирование порядка анализа результатов обработки 
данных (метаданных) ........................................................................... 95
1.5.6. Правовое обеспечение защиты данных ..................................... 97
1.5.7. Уполномоченный орган по защите субъектов 
персональных данных и его функции  ................................................. 98
1.5.8. Регулирование таргетированной (адресной, основанной 
на персональных данных и запросах лица) рекламы .......................... 99

1.6. Япония .................................................................................................. 99
1.6.1. Регулирование .............................................................................. 99
1.6.2. Определение персональных данных ..........................................102
1.6.3. Субъекты отношений в области обеспечения 
конфиденциальности персональных данных .....................................103
1.6.4. Ответственность за нарушения в области персональных 
данных и запрет на передачу данных третьим лицам.........................104
1.6.5. Правовое обеспечение защиты данных ....................................105
1.6.6. Режим регулирования персональных данных, отнесенных 
к государственной тайне .....................................................................106
1.6.7. Регулирование таргетированной (адресной, основанной 
на персональных данных и запросах лица) рекламы .........................106

1.7. Аргентина ............................................................................................106
1.7.1. Регулирование .............................................................................106
1.7.2. Определение персональных данных .......................................... 110
1.7.3. Субъекты отношений в области обеспечения 
конфиденциальности персональных данных ..................................... 111
1.7.4. Ответственность за нарушения, связанные 
с персональными данными, и регулирование передачи 
персональных данных третьим лицам ................................................ 112
1.7.5. Правовое обеспечение защиты данных ..................................... 116
1.7.6. Системы удаленного распределенного управления 
данными и их регламентация в национальном законодательстве ..... 119

Новая парадигма защиты и управления персональными данными в Российской Федерации 
и зарубежных странах в условиях развития систем обработки данных в сети Интернет

1.7.7. Уполномоченный орган по защите субъектов 
персональных данных и его функции .................................................120
1.7.8. Регулирование таргетированной (адресной, основанной 
на персональных данных и запросах лица) рекламы .........................121
1.7.9. Трансграничная передача данных ..............................................121

1.8. Бразилия ..............................................................................................122
1.8.1. Регулирование .............................................................................122
1.8.2. Определение персональных данных ..........................................125
1.8.3. Субъекты отношений в области обеспечения 
конфиденциальности персональных данных .....................................126
1.8.4. Ответственность за нарушения в сфере персональных 
данных и порядок передачи данных третьим лицам ..........................127
1.8.5. Правовое обеспечение защиты данных ....................................128
1.8.6. Регулирование таргетированной 
(адресной, основанной на персональных данных 
и запросах лица) рекламы ...................................................................128

1.9. Китай ...................................................................................................129
1.9.1. Регулирование ............................................................................ 129
1.9.2. Определение персональных данных ..........................................134
1.9.3. Субъекты отношений в области обеспечения 
конфиденциальности персональных данных .....................................135
1.9.4. Ответственность за нарушения в области персональных 
данных и порядок доступа к данным третьих лиц .............................136
1.9.5. Правовое обеспечение защиты данных .................................... 137
1.9.6. Уполномоченный орган по защите субъектов 
персональных данных и его функции ................................................. 137
1.9.7. Регулирование таргетированной (адресной, основанной 
на персональных данных и запросах лица) рекламы ........................  138
1.9.8. Трансграничная передача данных .............................................138

1.10. Соединенные Штаты Америки .........................................................139
1.10.1. Регулирование ...........................................................................141
1.10.2. Определение персональных данных ........................................148
1.10.3. Субъекты отношений в области обеспечения 
конфиденциальности персональных данных .....................................152
1.10.4. Ответственность за нарушения в области 
персональных данных и порядок передачи данных 
третьим лицам ......................................................................................153

Содержание

1.10.5. Режим защиты персональных данных 
при обработке больших данных, позволяющих 
при сопоставлении получать персональные данные .........................154
1.10.6. Уполномоченный орган по защите субъектов 
персональных данных и его функции .................................................158 
1.10.7. Регулирование таргетированной 
(адресной, основанной на персональных данных 
и запросах лица) рекламы ...................................................................159
1.10.8. Анализ законопроектов США в области 
персональных данных  .........................................................................160

1.11. Сингапур ............................................................................................163
1.11.1. Регулирование ............................................................................163
1.11.2. Определение персональных данных  ........................................164
1.11.3. Субъекты отношений в области обеспечения 
конфиденциальности персональных данных .....................................165
1.11.4. Ответственность за нарушения в области персональных 
данных и порядок передачи данных третьим лицам  .........................167
1.11.5. Правовое обеспечение защиты данных  ...................................168
1.11.6. Регулирование вопроса о наследовании прав 
на персональные данные  ....................................................................169
1.11.7. Системы удаленного распределенного 
управления данными и их регламентация 
в национальном законодательстве  .....................................................169
1.11.8. Уполномоченный орган по защите субъектов 
персональных данных и его функции .................................................170
1.11.9. Трансграничная передача персональных данных  ................... 171

2. «ПРАВО БЫТЬ ЗАБЫТЫМ» В МЕЖДУНАРОДНОМ, 
ЗАРУБЕЖНОМ И РОССИЙСКОМ ЗАКОНОДАТЕЛЬСТВЕ  .................. 172

2.1. Международное регулирование  ......................................................... 172
2.1.1. Общее регулирование ................................................................. 172
2.1.2. Регулирование в рамках проекта Регламента ............................ 173
2.1.3. Перспективы регулирования «права быть забытым» ............... 175

2.2. Зарубежное регулирование ................................................................177
2.2.1. Регулирование в отдельных странах ..........................................177
2.2.2. Судебная практика по «праву быть забытым» ..........................179

2.3. Российское регулирование ................................................................. 181

Новая парадигма защиты и управления персональными данными в Российской Федерации 
и зарубежных странах в условиях развития систем обработки данных в сети Интернет

3. СУЩЕСТВУЮЩИЕ МОДЕЛИ РЕГУЛИРОВАНИЯ 
ПРАВОВОГО ИНСТИТУТА ПЕРСОНАЛЬНЫХ ДАННЫХ 
В МЕЖДУНАРОДНОПРАВОВЫХ И НАЦИОНАЛЬНЫХ 
ЗАРУБЕЖНЫХ ПРАВОВЫХ ИСТОЧНИКАХ  ...........................................189

3.1. Регулирование  ....................................................................................189

3.2. Определение персональных данных  .................................................192

3.3. Субъекты отношений в области обеспечения 
конфиденциальности персональных данных...........................................197

3.4. Ответственность за несанкционированные действия 
с персональными данными .......................................................................200

3.5. Порядок передачи персональных данных третьим лицам ................203

3.6. Режим защиты персональных данных при обработке 
больших данных, позволяющих при сопоставлении получать 
персональные данные ...............................................................................207

3.7. Регулирование порядка анализа результатов обработки 
данных (метаданных) ................................................................................210

3.8. Правовое обеспечение защиты персональных данных  .................... 211

3.9. Регулирование вопроса о наследовании прав 
на персональные данные .......................................................................... 213

3.10. Системы удаленного распределенного управления 
данными и их регламентация
 в национальном законодательстве ...........................................................214

3.11. Уполномоченный орган по защите субъектов 
персональных данных и его функции  ......................................................216

3.12. Регулирование таргетированной (адресной, основанной 
на персональных данных и запросах лица) рекламы ...............................218

4. УСЛОВИЯ СБОРА, ХРАНЕНИЯ, ИСПОЛЬЗОВАНИЯ 
И ПЕРЕДАЧИ ПЕРСОНАЛЬНЫХ ДАННЫХ КРУПНЕЙШИМИ 
КОМПАНИЯМИ, ОКАЗЫВАЮЩИМИ УСЛУГИ В ОБЛАСТИ 
ИСПОЛЬЗОВАНИЯ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ, 
В ТОМ ЧИСЛЕ В ИНТЕРНЕТЕ ...................................................................220

4.1. Собираемые персональные данные ...................................................220 

4.2. Предоставление персональных данных третьим лицам ....................222

Содержание

4.3. Использование полученных персональных данных .........................223

4.4. Доступ к персональным данным и управление ими .........................223

4.5. Использование файлов cookie и аналогичных технологий ...............225

4.6. Защита персональных данных............................................................228

4.7. Трансграничная передача персональных данных ..............................229

5. ЗАРУБЕЖНЫЙ ОПЫТ В ОБЛАСТИ СОЗДАНИЯ СИСТЕМ 
ДОВЕРИТЕЛЬНОГО УПРАВЛЕНИЯ ИНФОРМАЦИЕЙ, 
ОПРЕДЕЛЕНИЯ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ 
ПРИ ПРОВЕДЕНИИ ЭЛЕКТРОННОЙ ИДЕНТИФИКАЦИИ 
И ОКАЗАНИИ АНАЛОГИЧНЫХ УСЛУГ ДОВЕРЕННЫМИ 
ЛИЦАМИ (ДОВЕРЕННЫЕ СЕРВИСЫ) .....................................................231

5.1. Страны Европейского союза.  ............................................................231
5.1.1. Франция ......................................................................................237
5.1.2. Нидерланды ................................................................................244
5.1.3. Эстония .......................................................................................248
5.1.4. Великобритания ..........................................................................260

5.2. Сингапур .............................................................................................269
5.2.1. Система доверенных сервисов в Сингапуре ..............................269
5.2.2. Государственное регулирование доверенных сервисов. 
Присоединение к Национальной системе аутентификации 
частных компаний ...............................................................................276
5.2.3. Подходы к регулированию создания 
доверенных системы и управления персональными 
данными и иной информацией...........................................................278
5.2.4. IT-стандарты ...............................................................................279

5.3. Индия ..................................................................................................280

5.4. Канада .................................................................................................284

5.5. Китай ...................................................................................................292

5.6. ОАЭ .....................................................................................................295

5.7. Соединенные Штаты Америки  ..........................................................298

5.8. Сравнение моделей доверительного управления 
информацией (доверенных сервисов идентификации 
и аутентификации) в зарубежных странах ...............................................301

Новая парадигма защиты и управления персональными данными в Российской Федерации 
и зарубежных странах в условиях развития систем обработки данных в сети Интернет

6. АНАЛИЗ ПОНЯТИЙ СФЕРЫ ПЕРСОНАЛЬНЫХ ДАННЫХ 
В РОССИЙСКОМ ЗАКОНОДАТЕЛЬСТВЕ. ВОЗМОЖНЫЕ ПУТИ 
РАЗВИТИЯ СФЕРЫ ПЕРСОНАЛЬНЫХ ДАННЫХ 
В РОССИЙСКОЙ ФЕДЕРАЦИИ .................................................................305

6.1. Понятие «персональные данные». Правовой режим данных, 
не являющихся персональными данными, обработка 
которых позволяет получить персональные данные ...............................305

6.2. Оператор персональных данных ........................................................ 311

6.3. Субъект персональных данных .......................................................... 312

6.4. Механизмы обеспечения выполнения требований, 
установленных законодательством о защите персональных данных ...... 312
6.4.1. Совершенствование механизма ответственности 
за нарушения в области персональных данных ................................. 312
6.4.2. Механизм информирования уполномоченного органа 
об инцидентах ......................................................................................314

6.5. Корректировка действующего законодательства 
в части полномочий уполномоченного органа по защите прав 
субъектов персональных данных .............................................................. 315

7. О ВОЗМОЖНОСТИ СОСТАВЛЕНИЯ МАТРИЦЫ 
СООТНЕСЕНИЯ ОБЕЗЛИЧЕННЫХ СВЕДЕНИЙ, 
СОВОКУПНОСТЬ ОБОБЩЕНИЯ И СОПОСТАВЛЕНИЯ 
КОТОРЫХ МОЖЕТ СТАТЬ ПЕРСОНАЛЬНЫМИ ДАННЫМИ .............. 318

8. КОНЦЕПЦИЯ РЕГУЛИРОВАНИЯ И ЗАЩИТЫ 
ПЕРСОНАЛЬНЫХ ДАННЫХ С УЧЕТОМ РАЗВИТИЯ 
ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ ....................................................331