Юридические исследования
Правильная ссылка на статью:
Рувинский Р.З. — Социально-кредитные механизмы и современные стандарты правовой зашиты персональных данных: проблемы соответствия // Юридические исследования. - 2021. - № 9. DOI: 10.25136/2409-7136.2021.9.36520 URL: https://nbpublish.com/Hbrary_read_article.php?id=36520
Социально-кредитные механизмы и современные стандарты правовой защиты персональных данных: проблемы соответствия
Рувинский Роман Зиновьевич
кандидат юридических наук
доцент кафедры истории и теории государства и права, Нижегородский институт управления - филиал Российской академии народного хозяйства и государственной службы при Президенте Российской
Федерации
603950, Россия, г. Нижний Новгород, пр. Гагарина, 46 И rouvinsky@gmail.com
Статья из рубрики "Человек и государство"
DOI:
10.25136/2409-7136.2021.9.36520
Дата направления статьи в редакцию:
24-09-2021
Аннотация: Предметом рассмотрения данной статьи является проблема соответствия практик цифрового профилирования и социального ранжирования (рейтингования), предполагающих сбор и анализ биографической (репутационной) информации о субъектах, принятым в мире стандартам защиты персональных данных и неприкосновенности частной жизни. Анализируется законодательство Китайской Народной Республики - государства, в последние годы внедряющего в сферу публичного управления масштабный и амбициозный проект "Системы социального кредита (доверия)". Составляющие данный проект управленческие практики рассматриваются через призму правовой модели защиты персональных данных, формируемой принятым в августе 2021 года Законом о защите личной информации. Особенностью данного научного исследования является его сравнительно-правовой характер: положения законодательства КНР сопоставляются с положениями принятого в Европейском Союзе Общего регламента по защите данных (General Data Protection Regulation), а также действующего в России федерального закона "О персональных данных". Европейская и российская модели регулирования операций с персональными данными оцениваются в контексте возможного внедрения практик цифрового профилирования, социального рейтингования (ранжирования, грейдирования) и автоматизированного принятия правоприменительных решений. Установив наличие пробелов в действующем в России и ЕС законодательстве о персональных данных и
отмечая опасность имеющихся в законодательстве бланкетных норм, автор делает вывод, согласно которому современное законодательство о персональных данных может выступать препятствием для произвольного обращения с такими данными, однако не в состоянии остановить внедрение в публичное управление новейших технологий, механизмов и практик, предполагающих использование регистрационной и биографической информации об индивидах в целях социального контроля.
Ключевые слова: система социального профиль, автоматизированное принятие социальное рейтингование, цифровизация контроль, китайское право
кредита, персональные данные, цифровой решений, С Э Р Я , законодательство КНР, государственного управления, социальный
Исследование выполнено при финансовой поддержке РФФИ в рамках научного проекта № 20-011-00173.
The reported study was funded by RFBR, project number 20-011-00173. 1. Введение: профилирование, ранжирование, контроль.
Сегодня, в период социальной турбулентности и технологических трансформаций, всё большую значимость для государств, корпораций и международных институтов приобретают инструменты, позволяющие минимизировать управленческие риски, сократить расходы на управление, повысить предсказуемость общественных отношений. Со времён событий 11 сентября 2001 года в США, а в ещё более наглядной форме -после объявления пандемии новой коронавирусной инфекции, важнейшей социальной ценностью и критерием любых общественных изменений сделалась безопасность, понимаемая как безопасность государственного режима перед лицом внутренних и внешних угроз (национальная безопасность), безопасность транснациональных корпоративных элит (так называемые «устойчивое развитие», / «sustainable development», «упругость» / «resilience» и т.п. i321) и безопасность жизни отдельных
индивидов (жизни, сведённой к «голому» биологическому измерению -Ш). Запрос на предсказуемость и безопасность ведёт к созданию средств социального контроля,
опирающихся на новейшие цифровые технологии i91. Многие из этих продвинутых средств публичного управления преподносятся их разработчиками, выгодоприобретателями и апологетами в качестве естественных порождений поступательного прогресса, объективной необходимостью, однако нередко их внедрение вступает в противоречие с ранее установленными правовыми принципами и стандартами. Установить противоречие новых практик, опирающихся на современные технологии, нормам действующего законодательства и базовым принципам функционирования правовой системы - значит, своевременно распознать вектор вероятного изменения законодательства и реформирования всей правовой системы, а также предугадать конкретные формы, в которых те или иные специфически современные управленческие практики могут быть воплощены в соответствующем пространстве.
Одним из первостепенных пунктов в актуальной повестке развития публичного управления в последние годы, как известно, выступает повсеместная цифровизация. Начавшись с электронного предоставления информации государственными ведомствами по обращениям граждан, сегодня цифровизация публичной сферы предполагает интеграцию множественных баз данных, содержащих информацию о физических и юридических лицах, что рано или поздно должно сделать возможным
автоматизированную (т.е. осуществляемую алгоритмами искусственного интеллекта) обработку данных о субъектах и принятие управленческих решений. То, что начиналось под девизом повышения прозрачности деятельности госаппарата для рядовых граждан
J201, выливается, напротив, в максимальную прозрачность объектов управления (т.е. граждан и организаций) для носителей властно-распорядительных полномочий. Субъект
права, будь то гражданин или организация, превращается в цифровой профиль [2; 28], т.е. доступную через автоматизированную инфраструктуру обмена информацией совокупность регистрационных, биометрических и биографических данных из различных официальных источников. Такие данные, помимо информации, позволяющей идентифицировать субъекта, могут включать сведения о ранее совершённых лицом правонарушениях, о задолженностях перед налоговыми органами и частными контрагентами, медицинскую (например, отметки о профилактических прививках) и, в принципе, любую другую информацию. Вопрос состоит лишь в определении источников формирования цифровых профилей; технически же нет никакой разницы, фиксировать ли в цифровом профиле данные о неисполненном судебном решении, информацию о нарушении правил дорожного движения, обнаруженном средствами автоматической фотовидеофиксации, данные о вакцинации от Covid-19, принадлежность к «иностранным агентам» или сторонникам оппозиционных (вариант - экстремистских) политических движений.
Профилирование субъектов (а по сути, превращение их в объекты перманентного контроля) должно рано или поздно поставить на повестке дня вопрос об оценивании граждан и организаций по биографическому содержимому их цифровых профилей и, соответственно, о выстраивании иерархий, т.е. о ранжировании, классификации лиц, подразделении их на множества с теми или иными значимыми для принятий управленческих решений метками. Правовые и организационные механизмы (средства, процедуры, технологии), предусматривающие сбор репутационной (биографической) информации о субъектах, анализ и оценку такой информации, принятие на основе этой информации управленческих решений, в том числе основанных на использовании методов предиктивной аналитики и техник управления рисками, могут быть объединены одним термином - социально-кредитные механизмы [7: 69] (от англ. credit - «доверие», т.е. речь идёт о механизмах, позволяющих определить уровень доверия к субъекту, его «надёжность» или «добросовестность», а уже на основании определения «надёжности» и «добросовестности» принять то или иное управленческое решение, относящееся к данному субъекту).
Тогда как вопрос принципиального соответствия формирующихся социально-кредитных механизмов базовым конституционным ценностям, равно как и вопрос о последствиях внедрения соответствующих практик для современных правовых систем находятся за рамками данной, ограниченной по объёму, статьи (^обсуждение этих вопросов нашло
отражение в другой публикации автора [7]), не меньшего внимания заслуживает проблема соответствия практик цифрового профилирования и социального ранжирования (рейтингования) принятым в мире стандартам защиты персональных данных и гарантирования неприкосновенности частной жизни.
В то время как во многих странах мира правительства прилагают все возможные усилия для внедрения в публичное управление инструментов цифрового профилирования, социальное ранжирование, тем более в форме рейтингования субъектов, остаётся своего рода «заповедной зоной», ступить на которую национальным правящим элитам не позволяют стереотипы демократической политической культуры, ценности прав и свобод личности, а также иные рудименты правового государства. Зато таких стереотипов и
рудиментов нет в Китайской Народной Республике (КНР), и китайские власти уже не первый год выстраивают проект под названием «Система социального кредита» (далее также - ССК), направленный, судя по всему, на интеграцию различных инструментов социального регулирования и контроля в целях учёта и оценки поведения субъектов и последующего их ранжирования (рейтингования) в зависимости от результатов такой оценки.
2. Система социального кредита и законодательство КНР о защите персональных данных.
О Системе (или системах) социального кредита в академической литературе сказано уже немало [8; 18: 19; 22]. Проект подробно изучался учёными за пределами КНР, поэтому нет нужды повторять общие места. Проект объединяет несколько управленческих инструментов: «чёрные списки» недобросовестных лиц (тех, кто не исполняет судебные решения, не платит налоги, не исполняет условия коммерческих договоров, нарушает общественный порядок на транспорте и объектах туристической инфраструктуры, и т.п.) и «красные списки» образцово законопослушных, единую систему социально-кредитных кодов (18-значные идентификационные номера, присваиваемые каждому гражданину и каждой организации, действующей в КНР), национальную платформу обмена кредитной информацией (государственную базу данных, аккумулирующую информацию из баз данных различных ведомств и учреждений, в т.ч. из «чёрных списков») и систему объединённых поощрений и наказаний (политику, предполагающую применение согласованных дисциплинарных и поощрительных мер к лицам, включённым в «чёрные» или «красные» списки, множеством государственных ведомств).
Любопытно, что содержание «чёрных списков» раскрывается на публично доступных интернет-ресурсах: например, на веб-портале Credit China (creditchina.gov.cn) и сайте Сети раскрытия информации об исполнении судебных решений (zxgk.court.gov.cn). Публикуемые о субъектах данные носят достаточно подробный характер, включая данные об имени и фамилии гражданина (наименовании организации) и описание ситуации, послужившей основанием для включения в «чёрный список». В целом стоит отметить, что китайская Система социального кредита опирается на политику изобличения и общественного порицания, которая порой принимает весьма своеобразные формы: так, в провинциях Чжэцзян и Хэнань операторы связи устанавливали на телефонные номера оказавшихся в чёрных списках должников гудок с предупреждением о недобросовестном поведении абонента J23!, а в провинции Хэбэй суды использовали практику демонстрации сведений о злостных должниках, уклоняющихся от исполнения судебных постановлений, перед показами фильмов в
кинотеатрах J34!.
Законодательство КНР о защите персональных данных находится в стадии активного формирования. В последние годы в КНР практически с нуля была создана достаточно серьёзная нормативная база для регулирования операций с персональными данными. При этом, как отмечают наблюдатели, до сих пор положения действующих нормативных актов были сфокусированы в основном на защите персональных данных потребителей товаров и услуг, тогда как в качестве граждан индивиды не пользовались сопоставимым уровнем защиты [24: 54].
Конституция КНР 1982 года в статьях 38-40 декларирует неприкосновенность чести и достоинства, жилища, свободу и тайну переписки [3]. Статья 110 Гражданского кодекса КНР 2020 года закрепляет право физических и юридических лиц на репутацию^16!.
Согласно статье 111 Гражданского кодекса КНР, сбор, хранение, использование и передача персональных данных о физическом лице организацией или индивидом допускаются только на основании закона; незаконное приобретение, продажа, предоставление или опубликование персональных данных третьих лиц законодательно запрещены. По сути, данные положения адресованы частным лицам и ничего не говорят об использовании персональных данных граждан государственными органами. Статья 253(1) Уголовного закона КНР предусматривает уголовную ответственность для должностных лиц организаций и государственных органов за незаконную (не предусмотренную нормативными актами) продажу или предоставление персональных данных граждан, полученных в связи с исполнением должностных обязанностей ПШ. Ни один из действующих в КНР законов, однако, не содержит гарантий нераспространения информации о гражданах самим государством, так что любое опубликование задевающей репутацию гражданина информации, если оно предусмотрено одним из многочисленных подзаконных нормативных актов госорганов КНР, считается правомерным (так, пункт 5 Некоторых положений Верховного народного суда об опубликовании списка бесчестных лиц, не исполняющих судебные решения, изданных 16 июля 2013 года, прямо предписывает судам КНР обнародовать информацию о
«бесчестных лицах», не исполняющих судебные решения [29]). В этом, как кажется, кроется объяснение довольно-таки жёстких практик изобличения и общественного порицания должников, правонарушителей и иных «подрывающих доверие» лиц в Китае.
20 августа 2021 года на 30-й сессии Постоянного комитета Всекитайского собрания народных представителей был принят Закон № 91 «О защите личной информации» (Ф^
вступающий в силу с 1 ноября 2021 года [25; 33]. Данный законодательный акт содержит достаточно подробные и, прямо скажем, революционные для Китая положения о защите персональных данных, позволяющие поставить китайское законодательство в этой области на одну планку с законодательствами развитых западных стран.
Согласно статье 4 Закона о защите личной информации, к личной информации (персональным данным) относятся все виды информации, записанной на электронном носителе или существующей в иной форме и относящейся к идентифицированным или идентифицируемым физическим лицам, за исключением информации, подвергнутой анонимизации. Статья 5 гласит, что обработка персональных данных должна осуществляться на основе принципов законности, уместности, необходимости и честности; использование персональных данных путём обмана, принуждения или введения в заблуждение не допускается. Так же, как и российский федеральный закон «О персональных данных», закон КНР устанавливает, что обработка персональных данных должна ограничиваться достижением ясной, обоснованной цели.
По общему правилу, содержащемуся в пункте 1 статьи 13 Закона КНР от 20 августа 2021 года, обработка персональных данных считается правомерной, если предварительно получено согласие субъекта персональных данных на их обработку. Также предусмотрен ряд ситуаций, при которых обработка персональных данных допустима вне зависимости от наличия согласия субъекта персональных данных. К таким ситуациям относятся хорошо знакомые российскому законодательству и мировой практике правового регулирования основания обработки персональных данных: исполнение договора, стороной или выгодоприобретателем по которому является субъект персональных данных; защита жизни и здоровья субъекта персональных данных; обеспечение законной деятельности средств массовой информации; самостоятельное раскрытие субъектом персональных данных личной информации о себе неограниченному кругу лиц.
В то же время статья 13 Закона 2021 года, устанавливающая условия допустимости обработки персональных данных гражданина, содержит два пункта (3 и 7), не имеющих прямого соответствия в законодательстве Российской Федерации и позволяющих толковать их в расширительном смысле. Пункт 3 статьи 13 устанавливает, что обработка персональных данных допустима в случаях, когда это необходимо для исполнения предусмотренных законом обязанностей. Формулировка пункта 7 - «иные обстоятельства, предусмотренные законами и подзаконными актами административных органов» - даёт понять, что сбор, передача, учёт и обработка персональных данных становятся правомерными в силу любого указания на то в любом нормативном акте.
Внимательное прочтение Закона КНР о защите личной информации позволяет выявить ещё несколько неоднозначных положений, расширительное толкование которых органами государственной власти может в значительной степени обессмыслить многие из предусмотренных этим же законом гарантий защиты персональных данных. Как следует из содержания статьи 26 Закона, собранные устройствами распознавания личности изображения граждан и иная информация, позволяющая идентифицировать индивида, могут быть использованы исключительно для целей обеспечения общественной безопасности. Биометрические данные, сведения о религиозных убеждениях, информация о здоровье лица, о его финансовых счетах, данные отслеживания местонахождения индивида также подлежат обработке только в соответствии с предписаниями нормативных правовых актов, возлагающих на государственные органы и их должностных лиц соответствующие служебные обязанности. Статья 34 Закона гласит, что государственные органы, осуществляющие обработку персональных данных для исполнения своих законных обязанностей, должны следовать предписаниям законов и подзаконных актов административных органов, а содержание и объём обрабатываемых данных не должны выходить за рамки содержания и объёма, необходимых для исполнения этими органами их законных обязанностей.
Солидно сформулированные гарантии защиты персональных данных граждан от их избыточного использования органами государства на деле не сильно предохраняют частную жизнь граждан, по большей части оставаясь на уровне деклараций. Принцип, действовавший до принятия Закона № 91 2021 года, остаётся неизменным: любое использование персональных данных, предусмотренное хотя бы подзаконным актом административного органа, de jure является правомерным; органы государственной власти и их должностные не вправе лишь выходить за пределы своих полномочий -предоставление же государственным органам полномочий по обработке персональных данных может легко быть обосновано служебной необходимостью, интересами общественной безопасности и любыми иными причинами. Так или иначе, в сухом остатке - практически неограниченные возможности государства по сбору, обработке и раскрытию персональных данных. Закон, разработанный с заметной оглядкой на аналогичные законы иностранных государств, судя по всему, служит привлекательным фасадом для демонстрации следования КНР современным стандартам защиты персональных данных, однако нет никаких оснований считать, что он может тем или иным образом воспрепятствовать имеющим место в Китае практикам сбора, анализа и раскрытия информации об индивидах. Для тех же «чёрных списков», являющихся одним из наиболее спорных элементов китайского проекта «повышения доверия членов общества друг к другу», в Законе о защите личной информации не предусмотрено никаких ограничивающих положений. Ничего новый законодательный акт КНР не говорит и о допустимости или недопустимости рейтингования граждан: на данный момент, поскольку единой всекитайской системы социального рейтингования до сих пор не существует [17; 30], ведение рейтингов находится за пределами внимания китайских
законов и регламентируется рядом подзаконных актов провинциального и местного уровней [21; 31].
3. Соответствие социально-кредитных механизмов современным европейским и российским стандартам защиты персональных данных.
Считается, что образцовой моделью регулирования операций с персональными данными является европейская модель, нормативным закреплением которой служит Регламент Европейского Парламента и Европейского Совета 2016/679 от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных и о свободном перемещении таких данных, а также об отмене директивы 95/56/EC (General Data Protection Regulation, GDPR ) В отличие от действующей в США модели
регулирования операций с персональными данными, европейская модель характеризуется детальной, унифицированной и комплексной регламентацией обращения с персональными данными, повышенным вниманием к процедурным особенностям использования различных видов персональных данных. В этой связи интерес представляет вопрос о том, соответствуют ли (и если да, то в какой мере) европейским стандартам защиты персональных данных практики применения в публичном управлении современных механизмов идентификации, профилирования, надзора и ранжирования (рейтингования), в том числе механизмов, составляющих китайский проект Системы социального кредита.
Действующее российское законодательство о защите персональных данных в основном следует европейской модели, что обусловлено в том числе вхождением Российской Федерации в Совет Европы. 19 декабря 2005 года Россия ратифицировала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке
персональных данных от 28 января 1981 года ü2^, в силу этого подход к регулированию операций с персональными данными в нашей стране весьма схож с подходами других европейских государств, в том числе являющихся членами Европейского Союза.
На первый взгляд, Система социального кредита, выстраиваемая в Китае, совершенно антагонистична европейской (шире - западной) правовой культуре. С этим трудно не согласиться, если принять во внимание отдельные наиболее одиозные практики, применяемые в рамках функционирования ССК: общедоступность «чёрных списков» с именами «подрывающих доверие» граждан; жёсткие практики изобличения и порицания правонарушителей; принцип фактического предания правонарушителей «остракизму», когда сразу множество государственных органов и учреждений применяет к субъекту правоограничительные меры, выходящие за рамки мер юридической ответственности. Китайская правовая и политическая культура, несомненно, сильно отличается от европейской, американской и российской [10: 60-62; 27: 54]. Это, однако, не должно вводить нас в заблуждение, ведь специфически современные инструменты управления и контроля могут приобретать различные формы в зависимости от особенностей правового и политического порядка, в рамках которого они применяются.
Пункт 40 преамбулы GDPR устанавливает, что обработка персональных данных должна осуществляться на основе согласия субъекта персональных данных или на ином законном основании, предусмотренном законодательством Европейского Союза или
государств-члена ЕС Согласно пункту 41 преамбулы GDPR, в качестве такого
законного основания не обязательно должен выступать закон, принятый парламентом, однако, так или иначе, оно должно иметь ясный и определённый характер. Пункт 69 преамбулы и статья 6 GDPR указывают на то, что обработка персональных данных
правомерна в тех случаях, когда она осуществляется в рамках исполнения публичной обязанности оператором персональных данных и связано с реализацией общественных интересов или властных полномочий. Иными словами, речь идёт об операциях с персональными данными, осуществляемых органами государства и уполномоченными государством лицами. В этой части GDPR оказывается неожиданно близким положениям Закона КНР о защите личной информации (вернее, наоборот, Закон КНР фактически повторяет многие положения GDPR). Впрочем, в отличие от китайского закона, GDPR предусматривает требование, согласно которому по запросу субъекта персональных данных оператор данных обязан обосновать, что реализуемый при обработке персональных данных публичный интерес имеет приоритет над индивидуальными правами и свободами субъекта. Данное положение, безусловно, является дополнительной правовой гарантией защиты интересов индивидов от произвола государственных органов и должностных лиц.
GDPR подробно описывает основания правомерности обработки персональных данных и порядок такой обработки, предусматривая целую систему гарантий неправомерного использования данных во вред правам и свободам граждан, к которым эти данные относятся. Всё это делает затруднительной и, скорее всего, практически недопустимой публикацию «чёрных списков» должников и нарушителей общественного порядка в открытых источниках. Также в рамках европейского режима защиты персональных данных невозможно представить себе, чтобы фамилии и имена злостных неплательщиков по долговым обязательствам транслировались на городских LED-экранах и перед показами фильмов в кинотеатрах, или чтобы операторы телефонной связи предупреждали звонящим должнику абонентам о порочной репутации их собеседника. Такая практика работы с персональными данными, несомненно, рассматривалась бы в рамках ЕС как наносящая вред человеческому достоинству и нарушающая основные права личности.
При сравнительно-правовом анализе законодательства КНР, ЕС и Российской Федерации о защите персональных данных обращает на себя внимание различие подходов КНР, с одной стороны, и ЕС и России, с другой, в вопросе принятия решений на основании автоматизированной обработки данных. В соответствии с пунктом 71 преамбулы GDPR субъект персональных данных должен иметь право не подвергаться решению, основанному исключительно на автоматизированной обработке относящихся к нему персональных данных и создающему для него те или иные правовые последствия. GDPR определяет, что такая автоматизированная обработка персональных данных предполагает «профилирование» (profiling ), включающее в себя в том числе анализ имеющихся данных о субъекте и предсказание вопросов, относящихся к качеству выполнения им своих трудовых обязанностей, состоянию его здоровья, его личным предпочтениям и интересам, его поведению, местоположению и т.д. Согласно преамбуле GDPR, автоматизированное принятие решений о субъекте на основе анализа относящихся к нему персональных данных является допустимым в случаях, прямо предусмотренных законодательством Европейского Союза или соответствующего государства - члена ЕС. Как гласит рассматриваемый нами документ, к таким случаям могут относиться, в частности, расследование экономических преступлений и мониторинг уклонения от уплаты налогов. Автоматизированное принятие решений на основе анализа персональных данных, согласно европейскому законодательству, однозначно не должно распространяться на детей.
Положения российского законодательства, касающиеся автоматизированной обработки персональных данных, во многом аналогичны нормам GDPR. В соответствии с частью 1
статьи 16 Федерального закона «О персональных данных» запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных
данных или иным образом затрагивающих его права и законные интересы Исключением из данного правила является предоставление согласия на автоматизированную обработку данных самим субъектом персональных данных. Также такая автоматизированная обработка персональных данных допустима в случаях, предусмотренных федеральными законами.
Законодательство КНР, в том числе недавно принятый Закон № 91 «О защите личной информации», не предусматривают положений, ограничивающих принятие решений на основе автоматизированной обработки персональных данных. Статья 24 Закона № 91 2021 года устанавливает, что при использовании персональных данных для автоматизированного принятия решений должны быть гарантированы прозрачность принятия решений, а также честность и справедливость результата обработки личной информации; автоматизированное принятие решений не должно выступать в качестве основания для установления необоснованных различий в условиях торговли (в частности, различий в покупной цене товара) для различных индивидов. Абзац 2 статьи 24 гласит, что лица, использующие методы автоматизированного принятия решений в целях массовой рассылки информации или при осуществлении коммерческих продаж частным лицам, обязаны обеспечить частным лицам возможность отказаться от использования их персональных данных для такого принятия решений. В соответствии с абзацем 3 анализируемой статьи субъекты персональных данных, информация о которых используется для автоматизированного принятия решений, существенным образом затрагивающего права и интересы индивидов, вправе требовать от операторов персональных данных обоснования принимаемых решений, а также могут отказаться от использования своих персональных данных для автоматизированного принятия решений
Нетрудно заметить, что положения статьи 24 Закона № 91, касающиеся использования персональных данных для автоматизированного принятия решений операторами персональных данных, распространяется лишь на частноправовые отношения, связанные с куплей-продажей товаров и оказанием коммерческих услуг. Таким образом, изложенные законоположения защищают индивида как потребителя, но не как гражданина. Гарантий защиты прав и законных интересов граждан от избыточного и необоснованного правоприменения со стороны органов государственной власти данная статья не предусматривает. Иных значимых положений, касающихся автоматизированного принятия решений на основе обработки персональных данных, Закон № 91 не содержит.
4. Заключительные выводы.
На сегодняшний день правовая система КНР, очевидно, позволяет китайскому государству применять довольно-таки широкий арсенал регуляторных, управленческих и контрольно-надзорных средств, в том числе современные средства цифровой идентификации, наблюдения в режиме реального времени, профилирования и рейтингования граждан и организаций. Особенности правовой и политической культуры, а в ещё большей степени - неполнота, пробельность законодательства, в течение многих лет представлявшегося руководству КНР в качестве ненужного «буржуазного
пережитка» позволяют экспериментировать с использованием персональных данных граждан гораздо более вольно, чем где-либо. На почве этой незрелости
законодательства, отсутствия традиций защиты индивидуальных прав и свобод, приоритета коллективных интересов перед интересами отдельной личности вырастает масштабный проект социального контроля и социальной инженерии - Система социального кредита (доверия), во многих отношениях не имеющая аналогов в мире.
Впрочем, незрелость системы законодательства - проблема решаемая. В последние годы в КНР были приняты и продолжают приниматься законодательные акты, регулирующие самые разнообразные стороны государственной и общественной жизни, и одной из таких областей законодательного регулирования является обращение с персональными данными. Учитывая, что Закон № 91 «О защите личной информации» ещё даже не вступил в силу, рано говорить о том, повлияет ли он на практику использования персональных данных граждан, заставит ли скорректировать деятельность публичных служб и учреждений, скажется ли тем или иным образом на будущем облике Системы социального кредита. Анализ данного законодательного акта, однако, позволяет предположить, что его корректирующее воздействие на уже сложившиеся и складывающиеся практики изобличения и общественного порицания, профилирования и рейтингования окажется минимальным. В нём слишком много неопределённых положений, отсылающих даже не к законам, а к подзаконным актам, - положений, который, скорее всего, будут использоваться для расширительного толкования полномочий государственных органов в ущерб правам и свободам отдельных частных лиц. Закон, на первый взгляд, содержащий нормы, аналогичные нормам зарубежного, западного законодательства, по всей видимости, преследует две цели: 1) создание видимости следования передовым мировым стандартам защиты персональных данных; 2) упорядочение деятельности частных (прежде всего, коммерческих) структур по использованию персональных данных потребителей их товаров и услуг. Защита персональных данных граждан от произвольных операций государственных органов и должностных лиц с ними, разумеется, также заложена в новый закон, но явно не дос та то ч на .
Система социального кредита в Китае, вероятно, будет и дальше развиваться в той логике, в которой она развивалась до сих пор: интеграция данных о субъектах из различных источников, максимально широкое раскрытие информации о недобросовестных участниках общественных отношений, создание правоограничений для таких лиц в как можно более широких областях жизни, профилирование граждан и организаций с их последующим рейтингованием или ранжированием (грейдированием). Более интересно то, в какой мере законодательство, действующее сегодня в Европейском Союзе и, например, России, препятствует подобным управленческим практикам.
Современное европейское и российское законодательство о защите персональных данных действительно делают достаточно затруднительным произвольное раскрытие персональных данных граждан, даже если речь идёт о правонарушителях, предусматривая ряд юридических гарантий на этот счёт (в частности, требование предоставления мотивированного обоснования операций с персональными данными). Для того, чтобы сделать правомерной обработку персональных данных в публичных интересах без согласия на то субъекта, российский закон «О персональных данных» и европейский GDPR требуют принятия закона (т.е. статутного парламентского акта), тогда как в рамках китайской модели регулирования достаточным является принятие подзаконного нормативного правового акта. Более детально, чем в Китае, и, опять же, более жёстко по отношению к сиюминутным служебным интересам государственных ведомств, российское и европейское законодательства регламентируют использование
персональных данных при автоматизированном принятии решений. На этом, как ни странно, значимые отличия моделей регулирования операций с персональными данными по большей части исчерпываются.
И европейский GDPR, и российский Федеральный закон № 152-ФЗ 2006 года содержат достаточное количество бланкетных норм, делающих возможным различные виды обработки персональных данных и даже автоматизированное (алгоритмическое) принятие правоприменительных решений на основе анализа персональных данных, если такие операции будут предусмотрены соответствующим законодательным актом. Логично, что законодатель оставил себе «лазейку», рассчитанную на дальнейший прогресс в области цифровых технологий, изменение положения в обществе, изменение общественных настроений, возникновение новых вызовов и угроз государственности, и т.п. Получается так, что цифровое профилирование граждан с включением в профили («цифровые двойники» ) того или иного объёма информации о субъектах, оценка информации из этих профилей или соответствующих баз данных, наконец - принятие правоприменительных решений, создающих, изменяющих или прекращающих для граждан те или иные права и обязанности, потенциально возможно, но требует принятия соответствующих законов. С учётом того, как легко и быстро принимаются законы в России, да и в других странах мира, и учитывая то, насколько широко представители законодательной и судебной власти сегодня толкуют положения конституционных актов, касающиеся основных прав и свобод граждан, напрашивается вывод: современное законодательство о персональных данных может выступать препятствием для произвольного, необоснованного обращения с такими данными, однако оно не в состоянии остановить внедрение в публичное управление новейших технологий, механизмов и практик, предполагающих сбор, хранение, анализ и учёт регистрационной, биографической, репутационной информации об индивидах.
На данный момент ситуация такова, что развитие технологий опережает практику правового регулирования. Многие явления, которые уже сделались частью нашей жизни и даже вошли в практику публичного управления, остаются за рамками законодательства. Даже юридическая дефиниция понятия «цифровой профиль» до сих пор не известно действующему российскому законодательству, и это несмотря на то, что
в подзаконных нормативных правовых актах данное понятие уже используется 6]. О таких понятиях как «цифровое профилирование» не приходится и говорить, хотя практики профилирования уже, несомненно, реализуются органами публичной власти. Законодательство отстаёт, но это связано не только с той простой истиной, согласно которой законодательство всегда отстаёт от изменения общественных отношений и, по большей части, закрепляет то, что уже сложилось и доказало свою жизнеспособность. Законодательство отстаёт и потому, что проводникам новых технологий и механизмов управления, социальным инженерам и тем слоям, чьи интересы они обеспечивают, не нужна лишняя огласка мероприятий, которые могут носить довольно-таки сомнительный характер. Законодательство отстаёт, т.к. его разработка и принятие всегда порождают общественную дискуссию - новейшие же технологии социального контроля внедряются в нашу жизнь, будто плоды объективного развития, альтернативы которым нет.
Вероятно, в ближайшие годы мы станем свидетелями достаточно глубоких трансформаций как в области законодательства, так и в области правоприменения. Фактически внедряемые механизмы социального контроля, опирающиеся на персональные данные репутационного характера, сначала должны будут стать повседневной реальностью, войти в привычную жизнь миллионов людей, чтобы спустя некоторое время их можно было бы описать в нормативных правовых актах, свести
воедино факт и норму. По всей видимости, на начальном этапе внедрение новых технологий цифрового профилирования и принятия решений на основе алгоритмической оценки персональных данных будет использовать лакуны, недосказанности, пробелы в позитивном праве. Большое значение для внедрения социально-кредитных механизмов и инструментов цифрового профилирования могут сыграть экспериментальные правовые режимы, устанавливаемые отдельными законодательными актами и распространяющие своё действие на ограниченное пространство и ограниченный круг субъектов. Кстати, в России нормативная база для экспериментов с цифровыми технологиями публичного
управления уже имеется [5; 14; 15]. Библиография
1. Агамбен Дж. Homo sacer: Суверенная власть и голая жизнь. М.: Изд-во «Европа», 2011.
2. Кондаков А.М., Костылева А.А. Цифровая идентичность, цифровая самоидентификация, цифровой профиль: постановка проблемы // Вестник РУДН. Серия: Информатизация образования. 2019. № 3 (16). С. 207-218.
3. Конституция Китайской Народной Республики (в редакции 2018 года) // URL: https ://www.pkulaw.com/en_law/7c7e81f43957c58bbdfb.html.
4. Постановление Правительства Российской Федерации от 03.06.2019 № 710 «О проведении эксперимента по повышению качества и связанности данных, содержащихся в государственных информационных ресурсах» // СЗ РФ. 2019. № 23. Ст. 2963.
5. Постановление Правительства Российской Федерации от 28.10.2020 № 1750 «Об утверждении перечня технологий, применяемых в рамках экспериментальных правовых режимов в сфере цифровых инноваций» // Официальный интернет-портал правовой информации. URL:
http://publication.pravo.gov.ru/Document/View/0001202010290030.
6. Приказ Министерства экономического развития Российской Федерации от 29.06.2021 № 392 «Об утверждении критериев определения принадлежности проектов к проектам в сфере искусственного интеллекта» (Зарегистрировано в Минюсте России 28.07.2021 № 64430) // Официальный интернет-портал правовой информации. URL: http://publication.pravo.gov.ru/Document/View/0001202107290008.
7. Рувинский Р. Система социального кредита в Китае: модель конституционализма для кризисной эры // Сравнительное конституционное обозрение. 2021. № 3 (142). С. 63-85.
8. Рувинский Р.З., Комарова Т.Д. Система социального кредита в Китайской Народной Республике: нормативно-правовые основания и принципы функционирования // NB: Административное право и практика администрирования. — 2020. — № 4 (30). — С. 18-53.
9. Рувинский Р.З., Тарасов А.А. «Система социального кредита»: исторические предпосылки и доктринальные основания феномена // Национальная безопасность/ nota bene. 2020. № 3. С. 72-88. DOI: 10.7256/2454-0668.2020.3.33021.
10. Трощинский П.В. Правовая система Китая. М.: ИДВ РАН, 2016.
11. Трощинский П.В. Эволюция правовой системы Китайской Народной Республики (1949-2018 гг.): историко-правовой аспект. М.: ВКН, 2018.
12. Федеральный закон от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» // СЗ РФ. 2005. № 52 (ч. 1). Ст. 5573.
13- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» // СЗ РФ. 2006. № 32 (ч. 1). Ст. 3451.
14. Федеральный закон от 24.04.2020 № 123-Ф3 «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации-городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных"» // СЗ РФ. 2020. № 17. Ст. 2701.
15. Федеральный закон от 31.07.2020 № 258-ФЗ «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации» // СЗ РФ. 2020. № 31 (ч. 1). Ст. 5017.
16. Civil Code of the People's Republic of China. 28 May 2020. URL: https ://pkulaw.com/en_law/aa00daaeb5a4fe4ebdfb.html
17. Creemers R. China's social credit system: An evolving practice of control // SSRN Electronic Journal. 2018. URL: https://papers.ssrn.com/sol3/papers.cfm? abstract_id = 3175792.
18. Criminal Law of the People's Republic of China (2017 Amendment PKULAW Version). 4 November 2017. URL: https://pkulaw.com/en_law/703dba7964330b85bdfb.html
19. Dai X. Toward a reputation state: A comprehensive view of China's Social Credit System project // Social Credit Rating: Reputation und Vertrauen beurteilen / ed. by O. Everling. Wiesbaden: Springer Gabler. P. 139-163.
20. Grönlund Â., Horan T.A. Introducing e-Gov: History, definitions, and issues // Communications of the Association for Information Systems. 2005. Vol. 15. P. 713730.
21. Hebei Provincial Social Credit Information Regulations // China Law Translate. URL: https ://www.chinalawtranslate.com/en/hebei-provincial-social-credit-information-regulations/.
22. Mac Sithigh D., Siems M. The Chinese social credit system: A model for other countries? // Modern Law Review. 2019. No. 6 (82). P. 1034-1071.
23. Ohlberg M., Ahmed S., Lang B. Central planning, local experiments: the complex implementation of China's Social Credit System // MERICS China Monitor. 2017. 12 December. URL: https://merics.org/sites/default/files/2020-04/171212_China_Monitor_43_Social_Credit_System_Implementation.pdf
24. Pernot-Leplay E. China's Approach on Data Privacy Law: A Third Way Between the U.S. and the E.U.? // Penn State Journal of Law & International Affairs. Vol. 8. 2020. No. 1. P. 49-117.
25. Personal Information Protection Law of the People's Republic of China. 20 August 2021. URL: https://www.pkulaw.com/en_law/d653ed619d0961c0bdfb.html.
26. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) // EUR-Lex. URL: http://data.europa.eu/eli/reg/2016/679/oj.
27. Ren X. Tradition of the law and law of the tradition: law, State, and social control in China. Westport, CT, and London: Greenwood Press, 1997.
28. Rouvroy A. Homo juridicus est-il soluble dans les données? // Law, Norms and Freedoms in Cyberspace / Droit, Normes et Libertés dans le Cybermonde. Ed. by Cécile de Terwangne et al. Bruxelles: Larcier, 2018. P. 415-442.
29. Several Provisions of the Supreme People's Court on Announcement of the List of Dishonest Persons subject to Enforcement. 16 July 2013. URL:
https ://pkulaw.com/en_law/7c63221fbc205ce6bdfb.html.
30. Shaefer K., Yin E. et al. Understanding China's Social Credit System // Trivium China. -2019, Sep. 23 - URL: http://socialcredit.triviumchina.com/wp-
content/uploads/2019/09/Understanding-Chinas-Social-Credit-System-Trivium-China-20190923.pdf.
31. Shanghai Municipal Social Credit Regulations // China Law Translate. URL:
https ://www.chinalawtranslate.com/en/shanghai-municipal-social-credit-regulations/.
32. Sklair L. The transnational capitalist class and the discourse of globalisation // Cambridge Review of International Affairs. 2000. No. 1 (14). P. 67-85.
33. Translation: Personal Information Protection Law of the People's Republic of China (Effective Nov. 1, 2021) / R. Creemers, G. Webster / DigiChina: Cyber Policy Center. URL: https://digichina.stanford.edu/news/translation-personal-information-protection-law-peoples-republic-china-effective-nov-1-2021.
34. [Hengshui: yingyuan dianying fangying qian bofang 110 ming "lao lai" xinxi] [Хэншуй: информация о 110 злостных неплательщиках будет показана перед началом фильмов в кинотеатрах]. 9 июля 2018 г. URL:
https://www.creditchina.gov.cn/home/dianxinganli1/201807/t20180706_119891.html Результаты процедуры рецензирования статьи
В связи с политикой двойного слепого рецензирования личность рецензента не раскрывается.
Со списком рецензентов издательства можно ознакомиться здесь.
Предмет исследования очень интересный, актуальный и посвящен актуальным проблемам соответствия социально-кредитных механизмов и современных стандартов «... правовой защиты персональных данных». Методология исследования - ряд методов, правильно используемых автором: сравнительно-правовой, формально-юридический, анализ и синтез, логика и др. Актуальность обоснована автором во введении к статье и выражается в следующем: «Установить противоречие новых практик, опирающихся на современные технологии, нормам действующего законодательства и базовым принципам функционирования правовой системы - значит, своевременно распознать вектор вероятного изменения законодательства и реформирования всей правовой системы.» и более того «. предугадать конкретные формы, в которых те или иные специфически современные управленческие практики могут быть воплощены в соответствующем пространстве». Научная новизна хорошо обоснована в исследовании автора. Стиль, структура, содержание заслуживают особого внимания. Необходимо отметить структурированность работы. Исследование имеет все необходимые структурные элементы: актуальность, постановка проблемы, цели и задачи, предмет, научная новизна, методология и выводы. Стиль работы хороший, она легко читается и носит исследовательский характер. Содержание отражает существо статьи. Автор логично подводит читателя к существующей проблеме. Он акцентирует внимание читателя на предмете статьи. Он показывает, опираясь на исследования оппонентов и свои собственные «То, что начиналось под девизом повышения прозрачности деятельности госаппарата для рядовых граждан [20], выливается, напротив, в максимальную прозрачность объектов управления (т.е. граждан и организаций) для носителей властно-распорядительных полномочий. Субъект права, будь то гражданин или организация,
превращается в цифровой профиль [2; 28] ...» и приводит положение дел в рассматриваемой сфере. Автор при постановки проблемы отмечает «Профилирование субъектов (а по сути, превращение их в объекты перманентного контроля) должно рано или поздно поставить на повестке дня вопрос об оценивании граждан и организаций по биографическому содержимому их цифровых профилей и, соответственно, о выстраивании иерархий, т.е. о ранжировании, классификации лиц, подразделении их на множества с теми или иными значимыми для принятий управленческих решений метками.», «.могут быть объединены одним термином - социально-кредитные механизмы [7: 69] (от англ. credit - «доверие», т.е. речь идёт о механизмах, позволяющих определить уровень доверия к субъекту, его «надёжность» или «добросовестность», а уже на основании определения «надёжности» и «добросовестности» принять то или иное управленческое решение, относящееся к данному субъекту», и перечисляет их, при этом делая вывод: «.социальное ранжирование, тем более в форме рейтингования субъектов, остаётся своего рода «заповедной зоной», ступить на которую национальным правящим элитам не позволяют стереотипы демократической политической культуры, ценности прав и свобод личности, а также иные рудименты правового государства. Зато таких стереотипов и рудиментов нет в Китайской Народной Республике (КНР), и китайские власти уже не первый год выстраивают проект под названием «Система социального кредита» .». Переходя к анализу вопроса «Система социального кредита и законодательство КНР о защите персональных данных» исследуемых в статье, автор показывает, используя НПА, СМИ, информресурсы, работы оппонентов и свои, что «.В целом стоит отметить, что китайская Система социального кредита опирается на политику изобличения и общественного порицания, которая порой принимает весьма своеобразные формы.», перечисляя их (приводя примеры), «... Согласно статье 111 Гражданского кодекса КНР, сбор, хранение, использование и передача персональных данных о физическом лице организацией или индивидом допускаются только на основании закона; незаконное приобретение, продажа, предоставление или опубликование персональных данных третьих лиц законодательно запрещены. По сути, данные положения адресованы частным лицам и ничего не говорят об использовании персональных данных граждан государственными органами.», «Ни один из действующих в КНР законов . не содержит гарантий нераспространения информации о гражданах самим государством, так что любое опубликование задевающей репутацию гражданина информации, если оно предусмотрено одним из многочисленных подзаконных нормативных актов госорганов КНР, считается правомерным» (с примерами НПА). При этом автор изучает «Закон № 91 «О защите личной информации»», анализирует его положения. Автор замечает: «Так же, как и российский федеральный закон «О персональных данных», закон КНР устанавливает, что обработка персональных данных должна ограничиваться достижением ясной, обоснованной цели», «Внимательное прочтение Закона КНР о защите личной информации позволяет выявить ещё несколько неоднозначных положений, расширительное толкование которых органами государственной власти может в значительной степени обессмыслить многие из предусмотренных этим же законом гарантий защиты персональных данных». Он приводит ссылки «Принцип, действовавший до принятия Закона № 91 2021 года, остаётся неизменным: любое использование персональных данных, предусмотренное хотя бы подзаконным актом административного органа, de jure является правомерным.», т.е. «практически неограниченные возможности государства по сбору, обработке и раскрытию персональных данных», «.ведение рейтингов находится за пределами внимания китайских законов и регламентируется рядом подзаконных актов провинциального и местного уровней [21; 31]». Переходя к анализу вопроса «Соответствие социально-
кредитных механизмов современным европейским и российским стандартам защиты персональных данных» исследуемых также в статье, автор показывает, используя НПА, работы оппонентов и свои, что «.При сравнительно-правовом анализе законодательства КНР, ЕС и Российской Федерации о защите персональных данных обращает на себя внимание различие подходов КНР, с одной стороны, и ЕС и России, с другой, в вопросе принятия решений на основании автоматизированной обработки данных», приводя примеры, «... Законодательство КНР, ... не предусматривают положений, ограничивающих принятие решений на основе автоматизированной обработки персональных данных», «... изложенные законоположения защищают индивида как потребителя, но не как гражданина. Гарантий защиты прав и законных интересов граждан от избыточного и необоснованного правоприменения со стороны органов государственной власти данная статья не предусматривает». В заключение автор подводит итог: «... На сегодняшний день правовая система КНР, очевидно, позволяет китайскому государству применять довольно-таки широкий арсенал регуляторных, управленческих и контрольно-надзорных средств, в том числе современные средства цифровой идентификации, наблюдения в режиме реального времени, профилирования и рейтингования граждан и организаций» и далее «. Защита персональных данных граждан от произвольных операций государственных органов и должностных лиц с ними, разумеется, также заложена в новый закон, но явно недостаточна», а учитывая законодательство РФ и европейское, автор отмечает «Получается так, что цифровое профилирование граждан с включением ..., оценка информации из этих профилей или соответствующих баз данных, наконец -принятие правоприменительных решений, создающих, изменяющих или прекращающих для граждан те или иные права и обязанности, потенциально возможно, но требует принятия соответствующих законов». Автор четко и правильно замечает «На данный момент ситуация такова, что развитие технологий опережает практику правового регулирования», «Законодательство отстаёт и потому, что проводникам новых технологий и механизмов управления, социальным инженерам и тем слоям, чьи интересы они обеспечивают, не нужна лишняя огласка мероприятий, которые могут носить довольно-таки сомнительный характер. Законодательство отстаёт, т.к. его разработка и принятие всегда порождают общественную дискуссию - новейшие же технологии социального контроля внедряются в нашу жизнь, будто плоды объективного развития, альтернативы которым нет», «.в России нормативная база для экспериментов с цифровыми технологиями публичного управления уже имеется [5; 14; 15]». Как нам кажется, приведены конкретные, дающие для практики и теории выводы. Необходимо констатировать, что журнал, в который представлена статья является научным, и автор направил в издательство статью, соответствующую требованиям, предъявляемым к научным публикациям, в частности для научной полемики он обращается к текстам научных работ оппонентов. Библиография достаточная и содержит современные научные исследования, как российских (в т. ч. и свои работы), так и зарубежных авторов, есть ссылки на НПА и СМИ, к которым автор обращается. Это позволяет автору правильно определить проблемы и поставить их на обсуждение. Он, исследовав их, раскрывает предмет статьи. Автор продемонстрировал хорошее знание обсуждаемого вопроса, работ ученых, исследовавших его прежде, и привнес своей статьей определенную научную новизну. Апелляция к оппонентам в связи с вышесказанным присутствует. Автором используется материал других исследователей. Выводы - работа заслуживает опубликования, интерес читательской аудитории будет присутствовать.