Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет

Новая 
парадигма
защиты 
и управления
персональными 
данными

в российской Федерации 
и зарубежных странах 
в условиях развития систем 
обработки данных 
в сети интернет

Издательский дом Высшей школы экономики 
Москва 2018

Под редакцией директора Института проблем 
правового регулирования НИУ ВШЭ,
канд. юрид. наук А.С. Дупан (Гутниковой)

ВЫСШАЯ ШКОЛА ЭКОНОМИКИ
НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТ

2-е издание (электронное)

УДК 342.7: 004.738.5.056.5
ББК 67.404.3
Н72
Авторский коллектив:
директор Института проблем правового регулирования НИУ ВШЭ, канд. юрид. наук 
А. С. Дупан (Гутникова) (подразд. 1.11, гл. 3, подразд. 5.1.3, 5.2, 5.8, 6.1 (совместно 
с С. В. Титовой), 6.4, 6.5, гл. 8 (совместно с А. Б. Жулиным)); заместитель заведующего кафедрой инновации и бизнеса в сфере ИТ факультета бизнес- информатики НИУ ВШЭ, канд. 
юрид. наук, доцент А. К. Жарова (подразд. 1.3, 1.7); заместитель заведующего кафедрой информационной безопасности факультета бизнеса и менеджмента НИУ ВШЭ, канд. пед. 
наук В. М. Елин (подразд. 1.10); директор Центра анализа деятельности органов исполнительной власти ИГМУ НИУ ВШЭ, канд. экон. наук А.Б. Жулин (гл. 8 совместно 
с А. С. Дупан (Гутниковой)); научный сотрудник Института проблем правового регулирования НИУ ВШЭ Ю. С. Бикбулатова (подразд. 1.1, 2.1.2, 2.2.1 (совместно 
с Т. И. Бикбулатовым), 5.1.4, 5.7, гл. 7); научный сотрудник Института проблем правового 
регулирования НИУ ВШЭ Т. И. Бикбулатов (подразд. 1.2, 1.9, 2.2.1 (совместно 
с Ю. С. Бикбулатовой)); аналитик Института проблем правового регулирования НИУ ВШЭ 
С. В. Титова (подразд. 1.5, 1.6, 1.8, 2.1.1, 2.1.3, 2.2.2, 2.3, 5.1, 5.1.1, 5.1.2, 5.3–5.6, 6.1 
(совместно с А. С. Дупан (Гутниковой), 6.2, 6.3); адвокат Германии (Германия, Kollegienwall, 
24, 49074 Osnabrück) Д. Римша (подразд. 1.4).

Н72
Новая парадигма защиты и управления персональными данными в 
Российской Федерации и зарубежных странах в условиях развития систем 
обработки данных в сети Интернет [Электронный ресурс] / под ред. 
А. С. Дупан ; Нац. исслед. ун-т «Высшая школа экономики». — 2-е изд. 
(эл.). — Электрон. текстовые дан. (1 файл pdf : 343 с.). — М. : Изд. дом Высшей школы экономики, 2018. — Систем. требования: Adobe Reader XI либо 
Adobe Digital Editions 4.5 ; экран 10".
ISBN 978-5-7598-1475-7
В монографии представлено исследование актуальных проблем регулирования 
отношений по оказанию услуг операторами доверенных сервисов (прежде всего 
идентификация и аутентификация лиц при электронном взаимодействии) и по доверительному управлению информацией на международном уровне, в зарубежных 
странах и в Российской Федерации, а также проблем защиты персональных данных 
в Интернете, в том числе в условиях применения новых методов обработки больших 
массивов данных и использования технологии облачных вычислений.
Книга адресована сотрудникам государственных органов, осуществляющих 
регулирование информационных отношений и (или) обеспечивающих защиту персональных данных, и компаний, являющихся операторами доверенных сервисов, 
оказывающих услуги по обработке больших массивов данных, предоставляющих 
услуги с помощью Интернета, а также операторам персональных данных. Она будет 
интересной и при изучении курса информационного права в учреждениях высшего 
образования.
УДК 342.7: 004.738.5.056.5 
ББК 67.404.3
Деривативное электронное издание на основе печатного издания: Новая парадигма 
защиты и управления персональными данными в Российской Федерации и зарубежных 
странах в условиях развития систем обработки данных в сети Интернет [Текст] / под ред. 
А. С. Дупан ; Нац. исслед. ун-т «Высшая школа экономики». — М. : Изд. дом Высшей 
школы экономики, 2016. — 342 с. — ISBN 978-5-7598-1386-6.

В соответствии со ст. 1299 и 1301 ГК РФ при устранении ограничений, установленных техническими средствами защиты авторских прав, правообладатель вправе требовать от нарушителя возмещения убытков или выплаты компенсации.

ISBN 978-5-7598-1475-7
© Национальный исследовательский университет 

«Высшая школа экономики», 2016

© Оформление. Издательский дом Высшей школы 

экономики, 2016

Содержание

Предисловие ......................................................................................................11

1. НОВЫЕ ПОДХОДЫ К РЕГУЛИРОВАНИЮ ПЕРСОНАЛЬНЫХ
ДАННЫХ В ЕВРОПЕ, США И В ИНЫХ ЗАРУБЕЖНЫХ СТРАНАХ ........13

1.1. Европейский союз .................................................................................13
1.1.1. Регулирование ...............................................................................13
1.1.2. Определение персональных данных ............................................14
1.1.3. Субъекты отношений в области обеспечения 
конфиденциальности персональных данных ...................................... 20
1.1.4. Ответственность за нарушения в области персональных 
данных и запрет на передачу данных третьим лицам.......................... 24
1.1.5. Режим защиты персональных данных при обработке 
больших данных, позволяющих при сопоставлении получать 
персональные данные .......................................................................... 25
1.1.6. Регулирование порядка анализа результатов 
обработки данных (метаданных) ..........................................................27
1.1.7. Правовое обеспечение защиты данных .......................................27
1.1.8. Регулирование вопроса о наследовании прав 
на персональные данные ...................................................................... 30
1.1.9. Уполномоченный орган по защите субъектов 
персональных данных и его функции  ..................................................31
1.1.10. Регулирование таргетированной (адресной, основанной 
на персональных данных и запросах лица) рекламы  ......................... 34
1.1.11. Порядок трансграничной передачи персональных 
данных ................................................................................................... 35

1.2. Совет Европы ....................................................................................... 49
1.2.1. Регулирование  ............................................................................. 49
1.2.2. Определение персональных данных ........................................... 53
1.2.3. Субъекты отношений в области обеспечения 
конфиденциальности персональных данных ...................................... 54
1.2.4. Ответственность за нарушения в области персональных 
данных и запрет на передачу данных третьим лицам.......................... 56

Новая парадигма защиты и управления персональными данными в Российской Федерации 
и зарубежных странах в условиях развития систем обработки данных в сети Интернет

1.2.5. Режим защиты персональных данных при обработке 
больших данных, позволяющих при сопоставлении получать 
персональные данные .......................................................................... 58
1.2.6. Регулирование порядка анализа результатов 
обработки данных (метаданных) ......................................................... 59
1.2.7. Уполномоченный орган по защите субъектов 
персональных данных и его функции  ................................................. 60
1.2.8. Регулирование таргетированной (адресной, основанной 
на персональных данных и запросах лица) рекламы .......................... 61
1.2.9. Трансграничная передача данных .............................................. 62

1.3. Великобритания ................................................................................... 62
1.3.1. Регулирование .............................................................................. 62
1.3.2. Определение персональных данных ........................................... 65
1.3.3. Субъекты отношений в области обеспечения 
конфиденциальности персональных данных ...................................... 66
1.3.4. Ответственность за нарушения в области персональных 
данных и запрет на передачу данных третьим лицам...........................67
1.3.5. Регулирование порядка анализа результатов обработки 
данных (метаданных) ........................................................................... 69
1.3.6. Правовое обеспечение защиты данных ......................................71
1.3.7. Системы удаленного распределенного управления 
данными и их регламентация в национальном законодательстве .......72
1.3.8. Уполномоченный орган по защите субъектов 
персональных данных и его функции .................................................. 77
1.3.9. Трансграничная передача данных ...............................................78

1.4. Германия ................................................................................................78
1.4.1. Регулирование ...............................................................................78
1.4.2. Определение персональных данных ........................................... 83
1.4.3. Субъекты отношений в области обеспечения 
конфиденциальности персональных данных ...................................... 85
1.4.4. Ответственность за нарушения в области персональных 
данных и запрет на передачу данных третьим лицам.......................... 86
1.4.5. Правовое обеспечение защиты данных ..................................... 87
1.4.6. Регулирование вопроса о наследовании прав 
на персональные данные ...................................................................... 88
1.4.7. Уполномоченный орган по защите субъектов персональных 
данных и его функции .......................................................................... 89

Содержание

1.5. Нидерланды .......................................................................................... 89
1.5.1. Регулирование .............................................................................. 89
1.5.2. Определение персональных данных ........................................... 90
1.5.3. Субъекты отношений в области обеспечения 
конфиденциальности персональных данных .......................................91
1.5.4. Ответственность за нарушения в области персональных 
данных и запрет на передачу данных третьим лицам.......................... 94
1.5.5. Регулирование порядка анализа результатов обработки 
данных (метаданных) ........................................................................... 95
1.5.6. Правовое обеспечение защиты данных ..................................... 97
1.5.7. Уполномоченный орган по защите субъектов 
персональных данных и его функции  ................................................. 98
1.5.8. Регулирование таргетированной (адресной, основанной 
на персональных данных и запросах лица) рекламы .......................... 99

1.6. Япония .................................................................................................. 99
1.6.1. Регулирование .............................................................................. 99
1.6.2. Определение персональных данных ..........................................102
1.6.3. Субъекты отношений в области обеспечения 
конфиденциальности персональных данных .....................................103
1.6.4. Ответственность за нарушения в области персональных 
данных и запрет на передачу данных третьим лицам.........................104
1.6.5. Правовое обеспечение защиты данных ....................................105
1.6.6. Режим регулирования персональных данных, отнесенных 
к государственной тайне .....................................................................106
1.6.7. Регулирование таргетированной (адресной, основанной 
на персональных данных и запросах лица) рекламы .........................106

1.7. Аргентина ............................................................................................106
1.7.1. Регулирование .............................................................................106
1.7.2. Определение персональных данных .......................................... 110
1.7.3. Субъекты отношений в области обеспечения 
конфиденциальности персональных данных ..................................... 111
1.7.4. Ответственность за нарушения, связанные 
с персональными данными, и регулирование передачи 
персональных данных третьим лицам ................................................ 112
1.7.5. Правовое обеспечение защиты данных ..................................... 116
1.7.6. Системы удаленного распределенного управления 
данными и их регламентация в национальном законодательстве ..... 119

Новая парадигма защиты и управления персональными данными в Российской Федерации 
и зарубежных странах в условиях развития систем обработки данных в сети Интернет

1.7.7. Уполномоченный орган по защите субъектов 
персональных данных и его функции .................................................120
1.7.8. Регулирование таргетированной (адресной, основанной 
на персональных данных и запросах лица) рекламы .........................121
1.7.9. Трансграничная передача данных ..............................................121

1.8. Бразилия ..............................................................................................122
1.8.1. Регулирование .............................................................................122
1.8.2. Определение персональных данных ..........................................125
1.8.3. Субъекты отношений в области обеспечения 
конфиденциальности персональных данных .....................................126
1.8.4. Ответственность за нарушения в сфере персональных 
данных и порядок передачи данных третьим лицам ..........................127
1.8.5. Правовое обеспечение защиты данных ....................................128
1.8.6. Регулирование таргетированной 
(адресной, основанной на персональных данных 
и запросах лица) рекламы ...................................................................128

1.9. Китай ...................................................................................................129
1.9.1. Регулирование ............................................................................ 129
1.9.2. Определение персональных данных ..........................................134
1.9.3. Субъекты отношений в области обеспечения 
конфиденциальности персональных данных .....................................135
1.9.4. Ответственность за нарушения в области персональных 
данных и порядок доступа к данным третьих лиц .............................136
1.9.5. Правовое обеспечение защиты данных .................................... 137
1.9.6. Уполномоченный орган по защите субъектов 
персональных данных и его функции ................................................. 137
1.9.7. Регулирование таргетированной (адресной, основанной 
на персональных данных и запросах лица) рекламы ........................  138
1.9.8. Трансграничная передача данных .............................................138

1.10. Соединенные Штаты Америки .........................................................139
1.10.1. Регулирование ...........................................................................141
1.10.2. Определение персональных данных ........................................148
1.10.3. Субъекты отношений в области обеспечения 
конфиденциальности персональных данных .....................................152
1.10.4. Ответственность за нарушения в области 
персональных данных и порядок передачи данных 
третьим лицам ......................................................................................153

Содержание

1.10.5. Режим защиты персональных данных 
при обработке больших данных, позволяющих 
при сопоставлении получать персональные данные .........................154
1.10.6. Уполномоченный орган по защите субъектов 
персональных данных и его функции .................................................158 
1.10.7. Регулирование таргетированной 
(адресной, основанной на персональных данных 
и запросах лица) рекламы ...................................................................159
1.10.8. Анализ законопроектов США в области 
персональных данных  .........................................................................160

1.11. Сингапур ............................................................................................163
1.11.1. Регулирование ............................................................................163
1.11.2. Определение персональных данных  ........................................164
1.11.3. Субъекты отношений в области обеспечения 
конфиденциальности персональных данных .....................................165
1.11.4. Ответственность за нарушения в области персональных 
данных и порядок передачи данных третьим лицам  .........................167
1.11.5. Правовое обеспечение защиты данных  ...................................168
1.11.6. Регулирование вопроса о наследовании прав 
на персональные данные  ....................................................................169
1.11.7. Системы удаленного распределенного 
управления данными и их регламентация 
в национальном законодательстве  .....................................................169
1.11.8. Уполномоченный орган по защите субъектов 
персональных данных и его функции .................................................170
1.11.9. Трансграничная передача персональных данных  ................... 171

2. «ПРАВО БЫТЬ ЗАБЫТЫМ» В МЕЖДУНАРОДНОМ, 
ЗАРУБЕЖНОМ И РОССИЙСКОМ ЗАКОНОДАТЕЛЬСТВЕ  .................. 172

2.1. Международное регулирование  ......................................................... 172
2.1.1. Общее регулирование ................................................................. 172
2.1.2. Регулирование в рамках проекта Регламента ............................ 173
2.1.3. Перспективы регулирования «права быть забытым» ............... 175

2.2. Зарубежное регулирование ................................................................177
2.2.1. Регулирование в отдельных странах ..........................................177
2.2.2. Судебная практика по «праву быть забытым» ..........................179

2.3. Российское регулирование ................................................................. 181

Новая парадигма защиты и управления персональными данными в Российской Федерации 
и зарубежных странах в условиях развития систем обработки данных в сети Интернет

3. СУЩЕСТВУЮЩИЕ МОДЕЛИ РЕГУЛИРОВАНИЯ 
ПРАВОВОГО ИНСТИТУТА ПЕРСОНАЛЬНЫХ ДАННЫХ 
В МЕЖДУНАРОДНОПРАВОВЫХ И НАЦИОНАЛЬНЫХ 
ЗАРУБЕЖНЫХ ПРАВОВЫХ ИСТОЧНИКАХ  ...........................................189

3.1. Регулирование  ....................................................................................189

3.2. Определение персональных данных  .................................................192

3.3. Субъекты отношений в области обеспечения 
конфиденциальности персональных данных...........................................197

3.4. Ответственность за несанкционированные действия 
с персональными данными .......................................................................200

3.5. Порядок передачи персональных данных третьим лицам ................203

3.6. Режим защиты персональных данных при обработке 
больших данных, позволяющих при сопоставлении получать 
персональные данные ...............................................................................207

3.7. Регулирование порядка анализа результатов обработки 
данных (метаданных) ................................................................................210

3.8. Правовое обеспечение защиты персональных данных  .................... 211

3.9. Регулирование вопроса о наследовании прав 
на персональные данные .......................................................................... 213

3.10. Системы удаленного распределенного управления 
данными и их регламентация
 в национальном законодательстве ...........................................................214

3.11. Уполномоченный орган по защите субъектов 
персональных данных и его функции  ......................................................216

3.12. Регулирование таргетированной (адресной, основанной 
на персональных данных и запросах лица) рекламы ...............................218

4. УСЛОВИЯ СБОРА, ХРАНЕНИЯ, ИСПОЛЬЗОВАНИЯ 
И ПЕРЕДАЧИ ПЕРСОНАЛЬНЫХ ДАННЫХ КРУПНЕЙШИМИ 
КОМПАНИЯМИ, ОКАЗЫВАЮЩИМИ УСЛУГИ В ОБЛАСТИ 
ИСПОЛЬЗОВАНИЯ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ, 
В ТОМ ЧИСЛЕ В ИНТЕРНЕТЕ ...................................................................220

4.1. Собираемые персональные данные ...................................................220 

4.2. Предоставление персональных данных третьим лицам ....................222

Содержание

4.3. Использование полученных персональных данных .........................223

4.4. Доступ к персональным данным и управление ими .........................223

4.5. Использование файлов cookie и аналогичных технологий ...............225

4.6. Защита персональных данных............................................................228

4.7. Трансграничная передача персональных данных ..............................229

5. ЗАРУБЕЖНЫЙ ОПЫТ В ОБЛАСТИ СОЗДАНИЯ СИСТЕМ 
ДОВЕРИТЕЛЬНОГО УПРАВЛЕНИЯ ИНФОРМАЦИЕЙ, 
ОПРЕДЕЛЕНИЯ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ 
ПРИ ПРОВЕДЕНИИ ЭЛЕКТРОННОЙ ИДЕНТИФИКАЦИИ 
И ОКАЗАНИИ АНАЛОГИЧНЫХ УСЛУГ ДОВЕРЕННЫМИ 
ЛИЦАМИ (ДОВЕРЕННЫЕ СЕРВИСЫ) .....................................................231

5.1. Страны Европейского союза.  ............................................................231
5.1.1. Франция ......................................................................................237
5.1.2. Нидерланды ................................................................................244
5.1.3. Эстония .......................................................................................248
5.1.4. Великобритания ..........................................................................260

5.2. Сингапур .............................................................................................269
5.2.1. Система доверенных сервисов в Сингапуре ..............................269
5.2.2. Государственное регулирование доверенных сервисов. 
Присоединение к Национальной системе аутентификации 
частных компаний ...............................................................................276
5.2.3. Подходы к регулированию создания 
доверенных системы и управления персональными 
данными и иной информацией...........................................................278
5.2.4. IT-стандарты ...............................................................................279

5.3. Индия ..................................................................................................280

5.4. Канада .................................................................................................284

5.5. Китай ...................................................................................................292

5.6. ОАЭ .....................................................................................................295

5.7. Соединенные Штаты Америки  ..........................................................298

5.8. Сравнение моделей доверительного управления 
информацией (доверенных сервисов идентификации 
и аутентификации) в зарубежных странах ...............................................301

Новая парадигма защиты и управления персональными данными в Российской Федерации 
и зарубежных странах в условиях развития систем обработки данных в сети Интернет

6. АНАЛИЗ ПОНЯТИЙ СФЕРЫ ПЕРСОНАЛЬНЫХ ДАННЫХ 
В РОССИЙСКОМ ЗАКОНОДАТЕЛЬСТВЕ. ВОЗМОЖНЫЕ ПУТИ 
РАЗВИТИЯ СФЕРЫ ПЕРСОНАЛЬНЫХ ДАННЫХ 
В РОССИЙСКОЙ ФЕДЕРАЦИИ .................................................................305

6.1. Понятие «персональные данные». Правовой режим данных, 
не являющихся персональными данными, обработка 
которых позволяет получить персональные данные ...............................305

6.2. Оператор персональных данных ........................................................ 311

6.3. Субъект персональных данных .......................................................... 312

6.4. Механизмы обеспечения выполнения требований, 
установленных законодательством о защите персональных данных ...... 312
6.4.1. Совершенствование механизма ответственности 
за нарушения в области персональных данных ................................. 312
6.4.2. Механизм информирования уполномоченного органа 
об инцидентах ......................................................................................314

6.5. Корректировка действующего законодательства 
в части полномочий уполномоченного органа по защите прав 
субъектов персональных данных .............................................................. 315

7. О ВОЗМОЖНОСТИ СОСТАВЛЕНИЯ МАТРИЦЫ 
СООТНЕСЕНИЯ ОБЕЗЛИЧЕННЫХ СВЕДЕНИЙ, 
СОВОКУПНОСТЬ ОБОБЩЕНИЯ И СОПОСТАВЛЕНИЯ 
КОТОРЫХ МОЖЕТ СТАТЬ ПЕРСОНАЛЬНЫМИ ДАННЫМИ .............. 318

8. КОНЦЕПЦИЯ РЕГУЛИРОВАНИЯ И ЗАЩИТЫ 
ПЕРСОНАЛЬНЫХ ДАННЫХ С УЧЕТОМ РАЗВИТИЯ 
ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ ....................................................331

Предисловие

Свободный обмен информацией лежит в основе современной экономики. В то же время все более широкое использование и передача 
персональных данных создают повышенные риски с точки зрения неприкосновенности частной жизни. Постоянно трансформирующиеся 
способы и подходы обработки данных изменяют и категории рисков 
нарушения прав вовлеченных в формирующиеся правоотношения 
субъектов, что, в свою очередь, требует корректировки или даже полного изменения системы государственного регулирования данной 
сферы.
В контексте колоссально ускоряющихся темпов развития информационных технологий требуется выработка новой модели регулирования обработки персональных данных, которая, во-первых, обеспечила бы их адекватную защиту, а во-вторых, соответствовала бы 
принципу свободного обмена информацией. 
Как и в любой другой сфере, где тесно переплетены право и технологии, подходы, меры государственного регулирования персональных данных нельзя признать сформированными в полной мере ни в 
одном государстве. Происходящее в настоящее время изменение подхода регулирования защиты персональных данных в различных странах мира обусловлено как общей тенденцией реформирования законодательства информационной отрасли в условиях цифровой эпохи 
отношений, так и особой политической ситуацией.
Система защиты персональных данных в Европейском союзе (как 
имеющая место в настоящий момент, так и планируемая к вступлению в силу после принятия нового генерального регламента) представляет собой комплексный стремящийся к сбалансированности механизм, выработка которого осуществлялась достаточно длительный 
период. Данная система не исчерпывается только законодательными 
актами, будучи детализируемой в многочисленных документах правового, технического, организационного характера (решения, резолюции, соглашения, документы и пр.). 
Регулирование отношений в сфере персональных данных в Российской Федерации традиционно проводится с опозданием в срав

Новая парадигма защиты и управления персональными данными в Российской Федерации 
и зарубежных странах в условиях развития систем обработки данных в сети Интернет

нении с Европейским союзом, модель регулирования которого была 
взята за основу в России. В связи с этим требуется новый подход к 
регулированию персональных данных в Российской Федерации, 
основанный на изучении опыта зарубежных стран, чтобы обеспечить 
и защиту прав субъектов персональных данных, и выполнение международных обязательств Российской Федерации в данной сфере. 

1. НОВЫЕ ПОДХОДЫ 
К РЕГУЛИРОВАНИЮ ПЕРСОНАЛЬНЫХ 
ДАННЫХ В ЕВРОПЕ, США 
И В ИНЫХ ЗАРУБЕЖНЫХ СТРАНАХ

1.1. Европейский союз 

1.1.1. Регулирование

На наднациональном уровне регулирование персональных данных включает следующие основные для данной сферы правовые 
акты:
1) Директиву Европейского союза от 24 октября 1995 г. № 95/46/
ЕС о защите физических лиц при обработке персональных данных и 
о свободном перемещении таких данных (далее — Директива 95/46/
ЕС); 
2) Регламент Европейского союза № 45/2001 о защите персональных данных при их обработке органами и учреждениями Европейского союза, который отразил основные положения Директивы 1995 г.; 
3) Директиву ЕС от 8 июня 2000 г. № 2000/31/ЕС о некоторых 
правовых аспектах информационных услуг на внутреннем рынке, в 
частности, об электронной коммерции.
25 января 2012 г. Европейской комиссией был опубликован проект Регламента Европейского союза о защите физических лиц в отношении обработки персональных данных и о свободном перемещении 
таких данных (далее — проект Регламента)1. 15 июня 2015 г. после более чем трехлетнего периода Советом Европейского союза был согласован законопроект о защите персональных данных. Начало процесса 
трехсторонних переговоров между Еврокомиссией, Европарламентом 
и Советом, известного как «трилог» (trilogue), было положено в июне 

1 Доработанная редакция проекта Регламента была опубликована 30 июня 
2014 г. в Интернете для публичного доступа по адресу: URL: http://register.consilium.
europa.eu/doc/srv?l=EN&f=ST%2011028%202014%20INIT.

Новая парадигма защиты и управления персональными данными в Российской Федерации 
и зарубежных странах в условиях развития систем обработки данных в сети Интернет

2015 г. Как отметила Европейская комиссия в своем заявлении, «есть 
совместное желание достичь окончательного соглашения к концу 
2015 г.»2. Новый порядок защиты персональных данных в Европейском союзе вступит в силу в 2017 г. и заменит устаревшие и нередко 
критично различающиеся нормативные правовые акты государств в 
этой области3. 
Проект Директивы Европейского парламента и Совета Европейского союза о защите физических лиц при обработке персональных 
данных компетентными органами в целях предотвращения, расследования, обнаружения или судебного преследования уголовных преступлений или исполнения уголовных наказаний и свободного движения 
таких данных (далее — проект Директивы), как и вышеупомянутый 
проект Регламента, является частью глобальной реформы защиты 
персональных данных граждан Евросоюза, который должен заменить 
Директиву Европейского союза от 24 октября 1995 г. № 95/46/ЕС о 
защите физических лиц при обработке персональных данных и о свободном перемещении таких данных.

1.1.2. Определение персональных данных

Пункт (а) ст. 2 Директивы 95/46/EC о защите физических лиц при 
обработке персональных данных и о свободном перемещении таких 
данных определяет персональные данные как любую информацию, 
относящуюся к определенному или определяемому физическому лицу 
(«субъекту данных»). При этом определяемым является лицо, которое может быть определено прямо или косвенно, в частности, через 
идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, 
экономической, культурной или социальной идентичности.
Приведенное определение схоже с определением персональных 
данных, установленным п. 1 ст. 3 российского Федерального закона 
от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — За
2 Ashford W. EU Data Protection Regulation to be finalised by end of 2015. URL: 
http://www.computerweekly.com/news/4500248164/EU-Data-Protection-Regulationto-be-finalised-by-end-of-2015 
3 Эшфорд У. Закон Евросоюза о защите персональных данных будет окончательно готов к концу 2015 г. URL: http://www.computerweekly.com/news/4500248164/
EU-Data-Protection-Regulation-to-be-finalised-by-end-of-2015. Пер. Н. Храмцовской: URL: http://rusrim.blogspot.ru/2015/06/201519. html.

1. Новые подходы к регулированию персональных данных 
в Европе, США и в иных зарубежных странах

кон № 152-ФЗ, Закон о персональных данных), если рассматривать 
его в совокупности с определением субъекта данных. Представляется, что дефиниция «персональные данные» должна анализироваться 
в данном случае именно так (совокупно), поскольку характеристики 
данных, которые способны идентифицировать лицо (идентификационный номер либо один или несколько признаков, характерных 
для его физической, психологической, умственной, экономической, 
культурной или социальной идентичности), содержатся именно в 
определении субъекта данных.
Проект Регламента в п. 1 ст. 4 дополняет перечень идентификаторов, с помощью которых возможно определение личности конкретного физического лица. В частности, перечень ранее установленных 
идентификаторов дополнен именем субъекта персональных данных, сведениями о месте его нахождения и онлайн-иденти фика торами (id).
Такого рода дополнения в российском законодательстве пока не 
предвидятся.
За счет последующего пояснения в п. 1 ст. 4 Директивы понятия 
«субъект данных», определяющего виды информации, при помощи 
которых лицо может быть установлено (идентификационный номер 
либо один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или 
социальной идентичности), персональные данные возможно условно 
группировать. Но дефиницию, представленную в Директиве 95/46/EC 
о защите физических лиц при обработке персональных данных и свободном перемещении таких данных, нельзя признать конкретной, поскольку перечисление видов персональных данных (ФИО, пол, дата 
рождения и пр.) данным актом не закреплено. 
В то же время, как отмечалось выше, проект Регламента называет 
конкретные виды персональных данных: имя субъекта персональных 
данных, сведения о месте его нахождения и онлайн-идентификатор 
(id). В случае принятия данной редакции ст. 4 проекта Регламента 
определение персональных данных в ЕС будет иметь смешанный характер.
Последующий текст Директивы выделяет отдельную специальную 
категорию данных. В российском законе они соответствуют специальным персональным данным. Так, раздел 3 Директивы в ст. 8 запрещает обработку персональных данных, раскрывающих расовое или 

Новая парадигма защиты и управления персональными данными в Российской Федерации 
и зарубежных странах в условиях развития систем обработки данных в сети Интернет

этническое происхождение, политические взгляды, религиозные или 
философские убеждения, членство в профсоюзах, и обработку данных, касающихся состояния здоровья или сексуальной жизни. Таким 
образом, персональные данные также могут быть сгруппированы в 
перечисленные категории.
В проекте Регламента к специальным чувствительным категориям персональных данных также отнесены «генетические данные» (все 
личные данные, относящиеся к генетическим особенностям человека, наследуемым или приобретенным, полученным в результате анализа биологического материала человека), «биометрические данные» 
(любые личные данные, полученные в результате специфичной технической обработки, касающиеся физических, физиологических или 
поведенческих характеристик человека, которые позволяют подтвердить или подтверждают уникальную идентификацию конкретного 
лица, например, изображений лиц или дактилоскопические данные), 
«данные о здоровье» (данные, связанные с физическим или психическим здоровьем индивида, раскрывающие информацию о его состоянии здоровья).
Обработку специальных категорий персональных данных о расовой принадлежности, об этническом происхождении, о политических мнениях, о религии, о философских позициях, о членстве в 
профсоюзе, генетических данных, данных о состоянии здоровья или 
сексуальной жизни проектом Регламента предлагается запретить, однако допускаются исключения (если субъект персональных данных 
дал явное согласие на обработку персональных данных, обработка 
необходима в целях выполнения обязательств в области трудового 
права, обработка необходима, чтобы защитить жизненные интересы 
субъекта персональных данных или другого человека, обработка необходима для исполнения задач в рамках общественного интереса, 
социальной защиты, обработка персональных данных относительно 
здоровья необходима в целях профилактической или профессиональной медицины, медицинского диагноза, определения условий 
ухода или лечения и т.д.). Кроме того, обработка специальных категорий персональных данных может осуществляться в том случае, 
если она необходима для решения задач в области архивного дела в 
интересах общества, в исторических, статистических или научных 
целях. При этом обработка персональных данных, касающихся судимости и преступлений или связанных с обеспечением безопасно

1. Новые подходы к регулированию персональных данных 
в Европе, США и в иных зарубежных странах

сти, может выполняться только под контролем официальных должностных лиц органов власти.
Также персональные данные предлагается различать по точности 
и надежности. В частности, проект Директивы разделяет персональные данные, основанные на фактах, и персональные данные субъективно оценочного характера. 
Отметим, что вопросы о необходимости пересмотра концепции 
понимания персональных данных поднимаются все чаще как в ЕС, 
так и за его пределами. Эксперты отмечают, что граница между понятиями «персональные данные» (personally identifiable information, 
PII) и «неперсональные данные» (non-PII) постепенно размывается. 
Такое наблюдение подтолкнуло специалистов Международной ассоциации IAPP (далее — IAPP) к изучению того, что же именно входит 
в понятие «персональные данные», как с развитием технологий меняются официальные определения этих терминов. 
В качестве отправной точки были взяты действующие официальные определения персональных данных. Действительно ли 
«персональные данные» — это «все данные о субъекте персональных данных»? Должны ли данные прямо идентифицировать субъекта персональных данных? Ответы на эти и многие другие вопросы 
можно получить, изучив определения персональных данных в законодательстве разных стран. Специалисты IAPP проверили соответствующие определения в 36 законах о защите данных 30 стран 
и пришли к следующим выводам. В упомянутых выше 36 законах 
используются разные формулировки. В некоторых странах, например в США, понятие персональных данных сформулировано относительно узко, и для его определения зачастую просто перечисляют 
конкретные элементы персональных данных. В то же время в других странах, особенно в странах Евросоюза, идет тенденция к более 
широкому толкованию термина «персональные данные». Несмотря 
на эти различия, в законодательстве этих стран, как и в Российской 
Федерации, используется типичная формулировка типа «персональные данные — это данные или информация, относящиеся к субъекту 
персональных данных, который можно идентифицировать». Также 
во всех странах используется одна и та же формулировка, иногда с 
небольшими изменениями, что «персональные данные — это данные, которые позволяют прямо или косвенно идентифицировать 
субъекта персональных данных». 

Новая парадигма защиты и управления персональными данными в Российской Федерации 
и зарубежных странах в условиях развития систем обработки данных в сети Интернет

Несмотря на схожесть формулировок, законы по-разному трактуют то, что действительно подпадает под их защиту. В одних странах 
прямо перечисляют состав персональных данных, в других ограничиваются более гибким (нечетким) определением. Несмотря на то что 
конкретные формулировки дают больше уверенности, они чаще подвергаются критике за свою инертность и невозможность следовать за 
современным развитием технологий. Гибкие формулировки, в свою 
очередь, позволяют адаптироваться к будущим изменениям, но при 
этом создают неопределенность.
По этим законам данные, которые не входят в состав персональных данных, считаются «неперсональными данными». Такой статус 
лишает их если не полностью, то большей части защиты со стороны 
закона. Эта концепция часто применялась в отношении собранных 
данных и только недавно стала применяться к «обезличенным» данным, из которых намеренно была удалена идентифицирующая информация.
В целях толкования разного рода неточностей в применении законодательства о персональных данных Рабочая группа 29-й статьи при 
ЕС подготовила Мнение 4/2007 (European Union Article 29 Working 
Party’s Opinion 4/2007, далее — Группа и Мнение соответственно) о 
понятии персональных данных, расширяющее правила его толкования. Рабочая группа проанализировала типы данных или информации; отношения между данными и их субъектом; понятие идентифицируемости субъекта; субъекты персональных данных, подпадающие 
под защиту законодательства.
В рамках данного анализа наиболее интересны аспекты, связанные с идентификацией. Законы о приватности включают такие формулировки, как «ссылающийся на», «относящийся к», «о», «касающийся» субъекта персональных данных или человека. Разница между 
этими формулировками невелика, так как они так или иначе устанавливают связь между данными и их субъектом. 
В Мнении Группы сообщается, что, вероятно, основная работа 
по установлению связей между персональными данными и субъектом 
персональных данных сводится к трем элементам — содержанию, задачам и интерпретации результатов.
Содержание данных, пожалуй, самый очевидный из этих трех элементов, так как оно раскрывает информацию о субъекте. Это могут 
быть его медицинская карта, реквизиты из договора или трудовая