Статья 'Социально-кредитные механизмы и современные стандарты правовой защиты персональных данных: проблемы соответствия' - журнал 'Юридические исследования' - NotaBene.ru
по
Journal Menu
> Issues > Rubrics > About journal > Authors > About the Journal > Requirements for publication > Council of editors > Redaction > Peer-review process > Policy of publication. Aims & Scope. > Article retraction > Ethics > Online First Pre-Publication > Copyright & Licensing Policy > Digital archiving policy > Open Access Policy > Article Processing Charge > Article Identification Policy > Plagiarism check policy
Journals in science databases
About the Journal

MAIN PAGE > Back to contents
Legal Studies
Reference:

Social credit mechanisms and modern standards of legal protection of personal data: correspondence problems

Rouvinsky Roman Z.

ORCID: 0000-0002-9114-1786

PhD in Law

Docent, the department of History and Theory of State and Law, Nizhny Novgorod Institute of Management (branch) of the Russian Presidential Academy of National Economy and Public Administration

46 Gagarin ave., Niznhy Novgorod, 603950, Russia

rouvinsky@gmail.com
Other publications by this author
 

 

DOI:

10.25136/2409-7136.2021.9.36520

Received:

24-09-2021


Published:

09-10-2021


Abstract: The subject of this article is the problem of correspondence of the practices of digital profiling and social score, which imply collection and analysis of biographical (reputational) information, to the worldwide-accepted standards of protection of personal data and privacy. Analysis is conducted on the legislation of the People's Republic of China – the country that in recent years has implemented the “Social Credit System” in the sphere of public administration. This project consists of management practices, which are viewed through the prism of the legal model of personal data protection formed by the Law in Protection of Personal Information adopted in 2021. The peculiarity of this research is its comparative legal nature: the provisions of China’s legislation are juxtaposed to the provisions of the General Data Protection Regulation adopted in the European Union and Russia’s Federal Law “On Personal Data”. Assessment is given to the European and Russian models of regulation of operations with personal data in the context of possible implementation of digital profiling practices, social score (ranking, grading), and automated law enforcement decision-making. Having determined the gaps in the current Russian and EU legislation on personal data, and indicating the risk caused by the presence of blanket rules, the conclusion is made according to which the modern legislation on personal data can be an obstacle for arbitrary use of such data; however, it cannot stop the implementation of innovative technologies, mechanisms and practices that suggest using registry and biographical information of individuals for the purpose of social control into the public administration.


Keywords:

social credit system, personal data, digital profile, automated decision-making, GDPR, legislation of the PRC, social rating, digitalization of public administration, social control, Chinese law

This article written in Russian. You can find original text of the article here .

1. Введение: профилирование, ранжирование, контроль.

Сегодня, в период социальной турбулентности и технологических трансформаций, всё большую значимость для государств, корпораций и международных институтов приобретают инструменты, позволяющие минимизировать управленческие риски, сократить расходы на управление, повысить предсказуемость общественных отношений. Со времён событий 11 сентября 2001 года в США, а в ещё более наглядной форме – после объявления пандемии новой коронавирусной инфекции, важнейшей социальной ценностью и критерием любых общественных изменений сделалась безопасность, понимаемая как безопасность государственного режима перед лицом внутренних и внешних угроз (национальная безопасность), безопасность транснациональных корпоративных элит (так называемые «устойчивое развитие», / «sustainable development», «упругость» / «resilience» и т.п. [32]) и безопасность жизни отдельных индивидов (жизни, сведённой к «голому» биологическому измерению [1]). Запрос на предсказуемость и безопасность ведёт к созданию средств социального контроля, опирающихся на новейшие цифровые технологии [9]. Многие из этих продвинутых средств публичного управления преподносятся их разработчиками, выгодоприобретателями и апологетами в качестве естественных порождений поступательного прогресса, объективной необходимостью, однако нередко их внедрение вступает в противоречие с ранее установленными правовыми принципами и стандартами. Установить противоречие новых практик, опирающихся на современные технологии, нормам действующего законодательства и базовым принципам функционирования правовой системы – значит, своевременно распознать вектор вероятного изменения законодательства и реформирования всей правовой системы, а также предугадать конкретные формы, в которых те или иные специфически современные управленческие практики могут быть воплощены в соответствующем пространстве.

Одним из первостепенных пунктов в актуальной повестке развития публичного управления в последние годы, как известно, выступает повсеместная цифровизация. Начавшись с электронного предоставления информации государственными ведомствами по обращениям граждан, сегодня цифровизация публичной сферы предполагает интеграцию множественных баз данных, содержащих информацию о физических и юридических лицах, что рано или поздно должно сделать возможным автоматизированную (т.е. осуществляемую алгоритмами искусственного интеллекта) обработку данных о субъектах и принятие управленческих решений. То, что начиналось под девизом повышения прозрачности деятельности госаппарата для рядовых граждан [20], выливается, напротив, в максимальную прозрачность объектов управления (т.е. граждан и организаций) для носителей властно-распорядительных полномочий. Субъект права, будь то гражданин или организация, превращается в цифровой профиль [2; 28], т.е. доступную через автоматизированную инфраструктуру обмена информацией совокупность регистрационных, биометрических и биографических данных из различных официальных источников. Такие данные, помимо информации, позволяющей идентифицировать субъекта, могут включать сведения о ранее совершённых лицом правонарушениях, о задолженностях перед налоговыми органами и частными контрагентами, медицинскую (например, отметки о профилактических прививках) и, в принципе, любую другую информацию. Вопрос состоит лишь в определении источников формирования цифровых профилей; технически же нет никакой разницы, фиксировать ли в цифровом профиле данные о неисполненном судебном решении, информацию о нарушении правил дорожного движения, обнаруженном средствами автоматической фотовидеофиксации, данные о вакцинации от Covid-19, принадлежность к «иностранным агентам» или сторонникам оппозиционных (вариант – экстремистских) политических движений.

Профилирование субъектов (а по сути, превращение их в объекты перманентного контроля) должно рано или поздно поставить на повестке дня вопрос об оценивании граждан и организаций по биографическому содержимому их цифровых профилей и, соответственно, о выстраивании иерархий, т.е. о ранжировании, классификации лиц, подразделении их на множества с теми или иными значимыми для принятий управленческих решений метками. Правовые и организационные механизмы (средства, процедуры, технологии), предусматривающие сбор репутационной (биографической) информации о субъектах, анализ и оценку такой информации, принятие на основе этой информации управленческих решений, в том числе основанных на использовании методов предиктивной аналитики и техник управления рисками, могут быть объединены одним термином – социально-кредитные механизмы [7: 69] (от англ. credit – «доверие», т.е. речь идёт о механизмах, позволяющих определить уровень доверия к субъекту, его «надёжность» или «добросовестность», а уже на основании определения «надёжности» и «добросовестности» принять то или иное управленческое решение, относящееся к данному субъекту).

Тогда как вопрос принципиального соответствия формирующихся социально-кредитных механизмов базовым конституционным ценностям, равно как и вопрос о последствиях внедрения соответствующих практик для современных правовых систем находятся за рамками данной, ограниченной по объёму, статьи (*обсуждение этих вопросов нашло отражение в другой публикации автора [7]), не меньшего внимания заслуживает проблема соответствия практик цифрового профилирования и социального ранжирования (рейтингования) принятым в мире стандартам защиты персональных данных и гарантирования неприкосновенности частной жизни.

В то время как во многих странах мира правительства прилагают все возможные усилия для внедрения в публичное управление инструментов цифрового профилирования, социальное ранжирование, тем более в форме рейтингования субъектов, остаётся своего рода «заповедной зоной», ступить на которую национальным правящим элитам не позволяют стереотипы демократической политической культуры, ценности прав и свобод личности, а также иные рудименты правового государства. Зато таких стереотипов и рудиментов нет в Китайской Народной Республике (КНР), и китайские власти уже не первый год выстраивают проект под названием «Система социального кредита» (далее также – ССК), направленный, судя по всему, на интеграцию различных инструментов социального регулирования и контроля в целях учёта и оценки поведения субъектов и последующего их ранжирования (рейтингования) в зависимости от результатов такой оценки.

2. Система социального кредита и законодательство КНР о защите персональных данных.

О Системе (или системах) социального кредита в академической литературе сказано уже немало [8; 18: 19; 22]. Проект подробно изучался учёными за пределами КНР, поэтому нет нужды повторять общие места. Проект объединяет несколько управленческих инструментов: «чёрные списки» недобросовестных лиц (тех, кто не исполняет судебные решения, не платит налоги, не исполняет условия коммерческих договоров, нарушает общественный порядок на транспорте и объектах туристической инфраструктуры, и т.п.) и «красные списки» образцово законопослушных, единую систему социально-кредитных кодов (18-значные идентификационные номера, присваиваемые каждому гражданину и каждой организации, действующей в КНР), национальную платформу обмена кредитной информацией (государственную базу данных, аккумулирующую информацию из баз данных различных ведомств и учреждений, в т.ч. из «чёрных списков») и систему объединённых поощрений и наказаний (политику, предполагающую применение согласованных дисциплинарных и поощрительных мер к лицам, включённым в «чёрные» или «красные» списки, множеством государственных ведомств).

Любопытно, что содержание «чёрных списков» раскрывается на публично доступных интернет-ресурсах: например, на веб-портале CreditChina (creditchina.gov.cn) и сайте Сети раскрытия информации об исполнении судебных решений (zxgk.court.gov.cn). Публикуемые о субъектах данные носят достаточно подробный характер, включая данные об имени и фамилии гражданина (наименовании организации) и описание ситуации, послужившей основанием для включения в «чёрный список». В целом стоит отметить, что китайская Система социального кредита опирается на политику изобличения и общественного порицания, которая порой принимает весьма своеобразные формы: так, в провинциях Чжэцзян и Хэнань операторы связи устанавливали на телефонные номера оказавшихся в чёрных списках должников гудок с предупреждением о недобросовестном поведении абонента [23], а в провинции Хэбэй суды использовали практику демонстрации сведений о злостных должниках, уклоняющихся от исполнения судебных постановлений, перед показами фильмов в кинотеатрах [34].

Законодательство КНР о защите персональных данных находится в стадии активного формирования. В последние годы в КНР практически с нуля была создана достаточно серьёзная нормативная база для регулирования операций с персональными данными. При этом, как отмечают наблюдатели, до сих пор положения действующих нормативных актов были сфокусированы в основном на защите персональных данных потребителей товаров и услуг, тогда как в качестве граждан индивиды не пользовались сопоставимым уровнем защиты [24: 54].

Конституция КНР 1982 года в статьях 38–40 декларирует неприкосновенность чести и достоинства, жилища, свободу и тайну переписки [3]. Статья 110 Гражданского кодекса КНР 2020 года закрепляет право физических и юридических лиц на репутацию [16]. Согласно статье 111 Гражданского кодекса КНР, сбор, хранение, использование и передача персональных данных о физическом лице организацией или индивидом допускаются только на основании закона; незаконное приобретение, продажа, предоставление или опубликование персональных данных третьих лиц законодательно запрещены. По сути, данные положения адресованы частным лицам и ничего не говорят об использовании персональных данных граждан государственными органами. Статья 253(I) Уголовного закона КНР предусматривает уголовную ответственность для должностных лиц организаций и государственных органов за незаконную (не предусмотренную нормативными актами) продажу или предоставление персональных данных граждан, полученных в связи с исполнением должностных обязанностей [18]. Ни один из действующих в КНР законов, однако, не содержит гарантий нераспространения информации о гражданах самим государством, так что любое опубликование задевающей репутацию гражданина информации, если оно предусмотрено одним из многочисленных подзаконных нормативных актов госорганов КНР, считается правомерным (так, пункт 5 Некоторых положений Верховного народного суда об опубликовании списка бесчестных лиц, не исполняющих судебные решения, изданных 16 июля 2013 года, прямо предписывает судам КНР обнародовать информацию о «бесчестных лицах», не исполняющих судебные решения [29]). В этом, как кажется, кроется объяснение довольно-таки жёстких практик изобличения и общественного порицания должников, правонарушителей и иных «подрывающих доверие» лиц в Китае.

20 августа 2021 года на 30-й сессии Постоянного комитета Всекитайского собрания народных представителей был принят Закон № 91 «О защите личной информации» (中华人民共和国个人信息保护法), вступающий в силу с 1 ноября 2021 года [25; 33]. Данный законодательный акт содержит достаточно подробные и, прямо скажем, революционные для Китая положения о защите персональных данных, позволяющие поставить китайское законодательство в этой области на одну планку с законодательствами развитых западных стран.

Согласно статье 4 Закона о защите личной информации, к личной информации (персональным данным) относятся все виды информации, записанной на электронном носителе или существующей в иной форме и относящейся к идентифицированным или идентифицируемым физическим лицам, за исключением информации, подвергнутой анонимизации. Статья 5 гласит, что обработка персональных данных должна осуществляться на основе принципов законности, уместности, необходимости и честности; использование персональных данных путём обмана, принуждения или введения в заблуждение не допускается. Так же, как и российский федеральный закон «О персональных данных», закон КНР устанавливает, что обработка персональных данных должна ограничиваться достижением ясной, обоснованной цели.

По общему правилу, содержащемуся в пункте 1 статьи 13 Закона КНР от 20 августа 2021 года, обработка персональных данных считается правомерной, если предварительно получено согласие субъекта персональных данных на их обработку. Также предусмотрен ряд ситуаций, при которых обработка персональных данных допустима вне зависимости от наличия согласия субъекта персональных данных. К таким ситуациям относятся хорошо знакомые российскому законодательству и мировой практике правового регулирования основания обработки персональных данных: исполнение договора, стороной или выгодоприобретателем по которому является субъект персональных данных; защита жизни и здоровья субъекта персональных данных; обеспечение законной деятельности средств массовой информации; самостоятельное раскрытие субъектом персональных данных личной информации о себе неограниченному кругу лиц. В то же время статья 13 Закона 2021 года, устанавливающая условия допустимости обработки персональных данных гражданина, содержит два пункта (3 и 7), не имеющих прямого соответствия в законодательстве Российской Федерации и позволяющих толковать их в расширительном смысле. Пункт 3 статьи 13 устанавливает, что обработка персональных данных допустима в случаях, когда это необходимо для исполнения предусмотренных законом обязанностей. Формулировка пункта 7 – «иные обстоятельства, предусмотренные законами и подзаконными актами административных органов» – даёт понять, что сбор, передача, учёт и обработка персональных данных становятся правомерными в силу любого указания на то в любом нормативном акте.

Внимательное прочтение Закона КНР о защите личной информации позволяет выявить ещё несколько неоднозначных положений, расширительное толкование которых органами государственной власти может в значительной степени обессмыслить многие из предусмотренных этим же законом гарантий защиты персональных данных. Как следует из содержания статьи 26 Закона, собранные устройствами распознавания личности изображения граждан и иная информация, позволяющая идентифицировать индивида, могут быть использованы исключительно для целей обеспечения общественной безопасности. Биометрические данные, сведения о религиозных убеждениях, информация о здоровье лица, о его финансовых счетах, данные отслеживания местонахождения индивида также подлежат обработке только в соответствии с предписаниями нормативных правовых актов, возлагающих на государственные органы и их должностных лиц соответствующие служебные обязанности. Статья 34 Закона гласит, что государственные органы, осуществляющие обработку персональных данных для исполнения своих законных обязанностей, должны следовать предписаниям законов и подзаконных актов административных органов, а содержание и объём обрабатываемых данных не должны выходить за рамки содержания и объёма, необходимых для исполнения этими органами их законных обязанностей.

Солидно сформулированные гарантии защиты персональных данных граждан от их избыточного использования органами государства на деле не сильно предохраняют частную жизнь граждан, по большей части оставаясь на уровне деклараций. Принцип, действовавший до принятия Закона № 91 2021 года, остаётся неизменным: любое использование персональных данных, предусмотренное хотя бы подзаконным актом административного органа, de jure является правомерным; органы государственной власти и их должностные не вправе лишь выходить за пределы своих полномочий – предоставление же государственным органам полномочий по обработке персональных данных может легко быть обосновано служебной необходимостью, интересами общественной безопасности и любыми иными причинами. Так или иначе, в сухом остатке – практически неограниченные возможности государства по сбору, обработке и раскрытию персональных данных. Закон, разработанный с заметной оглядкой на аналогичные законы иностранных государств, судя по всему, служит привлекательным фасадом для демонстрации следования КНР современным стандартам защиты персональных данных, однако нет никаких оснований считать, что он может тем или иным образом воспрепятствовать имеющим место в Китае практикам сбора, анализа и раскрытия информации об индивидах. Для тех же «чёрных списков», являющихся одним из наиболее спорных элементов китайского проекта «повышения доверия членов общества друг к другу», в Законе о защите личной информации не предусмотрено никаких ограничивающих положений. Ничего новый законодательный акт КНР не говорит и о допустимости или недопустимости рейтингования граждан: на данный момент, поскольку единой всекитайской системы социального рейтингования до сих пор не существует [17; 30], ведение рейтингов находится за пределами внимания китайских законов и регламентируется рядом подзаконных актов провинциального и местного уровней [21; 31].

3. Соответствие социально-кредитных механизмов современным европейским и российским стандартам защиты персональных данных.

Считается, что образцовой моделью регулирования операций с персональными данными является европейская модель, нормативным закреплением которой служит Регламент Европейского Парламента и Европейского Совета 2016/679 от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных и о свободном перемещении таких данных, а также об отмене директивы 95/56/EC (General Data Protection Regulation, GDPR) [26]. В отличие от действующей в США модели регулирования операций с персональными данными, европейская модель характеризуется детальной, унифицированной и комплексной регламентацией обращения с персональными данными, повышенным вниманием к процедурным особенностям использования различных видов персональных данных. В этой связи интерес представляет вопрос о том, соответствуют ли (и если да, то в какой мере) европейским стандартам защиты персональных данных практики применения в публичном управлении современных механизмов идентификации, профилирования, надзора и ранжирования (рейтингования), в том числе механизмов, составляющих китайский проект Системы социального кредита.

Действующее российское законодательство о защите персональных данных в основном следует европейской модели, что обусловлено в том числе вхождением Российской Федерации в Совет Европы. 19 декабря 2005 года Россия ратифицировала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года [12], в силу этого подход к регулированию операций с персональными данными в нашей стране весьма схож с подходами других европейских государств, в том числе являющихся членами Европейского Союза.

На первый взгляд, Система социального кредита, выстраиваемая в Китае, совершенно антагонистична европейской (шире – западной) правовой культуре. С этим трудно не согласиться, если принять во внимание отдельные наиболее одиозные практики, применяемые в рамках функционирования ССК: общедоступность «чёрных списков» с именами «подрывающих доверие» граждан; жёсткие практики изобличения и порицания правонарушителей; принцип фактического предания правонарушителей «остракизму», когда сразу множество государственных органов и учреждений применяет к субъекту правоограничительные меры, выходящие за рамки мер юридической ответственности. Китайская правовая и политическая культура, несомненно, сильно отличается от европейской, американской и российской [10: 60-62; 27: 54]. Это, однако, не должно вводить нас в заблуждение, ведь специфически современные инструменты управления и контроля могут приобретать различные формы в зависимости от особенностей правового и политического порядка, в рамках которого они применяются.

Пункт 40 преамбулы GDPR устанавливает, что обработка персональных данных должна осуществляться на основе согласия субъекта персональных данных или на ином законном основании, предусмотренном законодательством Европейского Союза или государств-члена ЕС [26]. Согласно пункту 41 преамбулы GDPR, в качестве такого законного основания не обязательно должен выступать закон, принятый парламентом, однако, так или иначе, оно должно иметь ясный и определённый характер. Пункт 69 преамбулы и статья 6 GDPR указывают на то, что обработка персональных данных правомерна в тех случаях, когда она осуществляется в рамках исполнения публичной обязанности оператором персональных данных и связано с реализацией общественных интересов или властных полномочий. Иными словами, речь идёт об операциях с персональными данными, осуществляемых органами государства и уполномоченными государством лицами. В этой части GDPR оказывается неожиданно близким положениям Закона КНР о защите личной информации (вернее, наоборот, Закон КНР фактически повторяет многие положения GDPR). Впрочем, в отличие от китайского закона, GDPR предусматривает требование, согласно которому по запросу субъекта персональных данных оператор данных обязан обосновать, что реализуемый при обработке персональных данных публичный интерес имеет приоритет над индивидуальными правами и свободами субъекта. Данное положение, безусловно, является дополнительной правовой гарантией защиты интересов индивидов от произвола государственных органов и должностных лиц.

GDPR подробно описывает основания правомерности обработки персональных данных и порядок такой обработки, предусматривая целую систему гарантий неправомерного использования данных во вред правам и свободам граждан, к которым эти данные относятся. Всё это делает затруднительной и, скорее всего, практически недопустимой публикацию «чёрных списков» должников и нарушителей общественного порядка в открытых источниках. Также в рамках европейского режима защиты персональных данных невозможно представить себе, чтобы фамилии и имена злостных неплательщиков по долговым обязательствам транслировались на городских LED-экранах и перед показами фильмов в кинотеатрах, или чтобы операторы телефонной связи предупреждали звонящим должнику абонентам о порочной репутации их собеседника. Такая практика работы с персональными данными, несомненно, рассматривалась бы в рамках ЕС как наносящая вред человеческому достоинству и нарушающая основные права личности.

При сравнительно-правовом анализе законодательства КНР, ЕС и Российской Федерации о защите персональных данных обращает на себя внимание различие подходов КНР, с одной стороны, и ЕС и России, с другой, в вопросе принятия решений на основании автоматизированной обработки данных. В соответствии с пунктом 71 преамбулы GDPR субъект персональных данных должен иметь право не подвергаться решению, основанному исключительно на автоматизированной обработке относящихся к нему персональных данных и создающему для него те или иные правовые последствия. GDPR определяет, что такая автоматизированная обработка персональных данных предполагает «профилирование» (profiling), включающее в себя в том числе анализ имеющихся данных о субъекте и предсказание вопросов, относящихся к качеству выполнения им своих трудовых обязанностей, состоянию его здоровья, его личным предпочтениям и интересам, его поведению, местоположению и т.д. Согласно преамбуле GDPR, автоматизированное принятие решений о субъекте на основе анализа относящихся к нему персональных данных является допустимым в случаях, прямо предусмотренных законодательством Европейского Союза или соответствующего государства – члена ЕС. Как гласит рассматриваемый нами документ, к таким случаям могут относиться, в частности, расследование экономических преступлений и мониторинг уклонения от уплаты налогов. Автоматизированное принятие решений на основе анализа персональных данных, согласно европейскому законодательству, однозначно не должно распространяться на детей.

Положения российского законодательства, касающиеся автоматизированной обработки персональных данных, во многом аналогичны нормам GDPR. В соответствии с частью 1 статьи 16 Федерального закона «О персональных данных» запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы [13]. Исключением из данного правила является предоставление согласия на автоматизированную обработку данных самим субъектом персональных данных. Также такая автоматизированная обработка персональных данных допустима в случаях, предусмотренных федеральными законами.

Законодательство КНР, в том числе недавно принятый Закон № 91 «О защите личной информации», не предусматривают положений, ограничивающих принятие решений на основе автоматизированной обработки персональных данных. Статья 24 Закона № 91 2021 года устанавливает, что при использовании персональных данных для автоматизированного принятия решений должны быть гарантированы прозрачность принятия решений, а также честность и справедливость результата обработки личной информации; автоматизированное принятие решений не должно выступать в качестве основания для установления необоснованных различий в условиях торговли (в частности, различий в покупной цене товара) для различных индивидов. Абзац 2 статьи 24 гласит, что лица, использующие методы автоматизированного принятия решений в целях массовой рассылки информации или при осуществлении коммерческих продаж частным лицам, обязаны обеспечить частным лицам возможность отказаться от использования их персональных данных для такого принятия решений. В соответствии с абзацем 3 анализируемой статьи субъекты персональных данных, информация о которых используется для автоматизированного принятия решений, существенным образом затрагивающего права и интересы индивидов, вправе требовать от операторов персональных данных обоснования принимаемых решений, а также могут отказаться от использования своих персональных данных для автоматизированного принятия решений [33].

Нетрудно заметить, что положения статьи 24 Закона № 91, касающиеся использования персональных данных для автоматизированного принятия решений операторами персональных данных, распространяется лишь на частноправовые отношения, связанные с куплей-продажей товаров и оказанием коммерческих услуг. Таким образом, изложенные законоположения защищают индивида как потребителя, но не как гражданина. Гарантий защиты прав и законных интересов граждан от избыточного и необоснованного правоприменения со стороны органов государственной власти данная статья не предусматривает. Иных значимых положений, касающихся автоматизированного принятия решений на основе обработки персональных данных, Закон № 91 не содержит.

4. Заключительные выводы.

На сегодняшний день правовая система КНР, очевидно, позволяет китайскому государству применять довольно-таки широкий арсенал регуляторных, управленческих и контрольно-надзорных средств, в том числе современные средства цифровой идентификации, наблюдения в режиме реального времени, профилирования и рейтингования граждан и организаций. Особенности правовой и политической культуры, а в ещё большей степени – неполнота, пробельность законодательства, в течение многих лет представлявшегося руководству КНР в качестве ненужного «буржуазного пережитка» [11], позволяют экспериментировать с использованием персональных данных граждан гораздо более вольно, чем где-либо. На почве этой незрелости законодательства, отсутствия традиций защиты индивидуальных прав и свобод, приоритета коллективных интересов перед интересами отдельной личности вырастает масштабный проект социального контроля и социальной инженерии – Система социального кредита (доверия), во многих отношениях не имеющая аналогов в мире.

Впрочем, незрелость системы законодательства – проблема решаемая. В последние годы в КНР были приняты и продолжают приниматься законодательные акты, регулирующие самые разнообразные стороны государственной и общественной жизни, и одной из таких областей законодательного регулирования является обращение с персональными данными. Учитывая, что Закон № 91 «О защите личной информации» ещё даже не вступил в силу, рано говорить о том, повлияет ли он на практику использования персональных данных граждан, заставит ли скорректировать деятельность публичных служб и учреждений, скажется ли тем или иным образом на будущем облике Системы социального кредита. Анализ данного законодательного акта, однако, позволяет предположить, что его корректирующее воздействие на уже сложившиеся и складывающиеся практики изобличения и общественного порицания, профилирования и рейтингования окажется минимальным. В нём слишком много неопределённых положений, отсылающих даже не к законам, а к подзаконным актам, – положений, который, скорее всего, будут использоваться для расширительного толкования полномочий государственных органов в ущерб правам и свободам отдельных частных лиц. Закон, на первый взгляд, содержащий нормы, аналогичные нормам зарубежного, западного законодательства, по всей видимости, преследует две цели: 1) создание видимости следования передовым мировым стандартам защиты персональных данных; 2) упорядочение деятельности частных (прежде всего, коммерческих) структур по использованию персональных данных потребителей их товаров и услуг. Защита персональных данных граждан от произвольных операций государственных органов и должностных лиц с ними, разумеется, также заложена в новый закон, но явно недостаточна.

Система социального кредита в Китае, вероятно, будет и дальше развиваться в той логике, в которой она развивалась до сих пор: интеграция данных о субъектах из различных источников, максимально широкое раскрытие информации о недобросовестных участниках общественных отношений, создание правоограничений для таких лиц в как можно более широких областях жизни, профилирование граждан и организаций с их последующим рейтингованием или ранжированием (грейдированием). Более интересно то, в какой мере законодательство, действующее сегодня в Европейском Союзе и, например, России, препятствует подобным управленческим практикам.

Современное европейское и российское законодательство о защите персональных данных действительно делают достаточно затруднительным произвольное раскрытие персональных данных граждан, даже если речь идёт о правонарушителях, предусматривая ряд юридических гарантий на этот счёт (в частности, требование предоставления мотивированного обоснования операций с персональными данными). Для того, чтобы сделать правомерной обработку персональных данных в публичных интересах без согласия на то субъекта, российский закон «О персональных данных» и европейский GDPR требуют принятия закона (т.е. статутного парламентского акта), тогда как в рамках китайской модели регулирования достаточным является принятие подзаконного нормативного правового акта. Более детально, чем в Китае, и, опять же, более жёстко по отношению к сиюминутным служебным интересам государственных ведомств, российское и европейское законодательства регламентируют использование персональных данных при автоматизированном принятии решений. На этом, как ни странно, значимые отличия моделей регулирования операций с персональными данными по большей части исчерпываются.

И европейский GDPR, и российский Федеральный закон № 152-ФЗ 2006 года содержат достаточное количество бланкетных норм, делающих возможным различные виды обработки персональных данных и даже автоматизированное (алгоритмическое) принятие правоприменительных решений на основе анализа персональных данных, если такие операции будут предусмотрены соответствующим законодательным актом. Логично, что законодатель оставил себе «лазейку», рассчитанную на дальнейший прогресс в области цифровых технологий, изменение положения в обществе, изменение общественных настроений, возникновение новых вызовов и угроз государственности, и т.п. Получается так, что цифровое профилирование граждан с включением в профили («цифровые двойники») того или иного объёма информации о субъектах, оценка информации из этих профилей или соответствующих баз данных, наконец – принятие правоприменительных решений, создающих, изменяющих или прекращающих для граждан те или иные права и обязанности, потенциально возможно, но требует принятия соответствующих законов. С учётом того, как легко и быстро принимаются законы в России, да и в других странах мира, и учитывая то, насколько широко представители законодательной и судебной власти сегодня толкуют положения конституционных актов, касающиеся основных прав и свобод граждан, напрашивается вывод: современное законодательство о персональных данных может выступать препятствием для произвольного, необоснованного обращения с такими данными, однако оно не в состоянии остановить внедрение в публичное управление новейших технологий, механизмов и практик, предполагающих сбор, хранение, анализ и учёт регистрационной, биографической, репутационной информации об индивидах.

На данный момент ситуация такова, что развитие технологий опережает практику правового регулирования. Многие явления, которые уже сделались частью нашей жизни и даже вошли в практику публичного управления, остаются за рамками законодательства. Даже юридическая дефиниция понятия «цифровой профиль» до сих пор не известно действующему российскому законодательству, и это несмотря на то, что в подзаконных нормативных правовых актах данное понятие уже используется [4; 6]. О таких понятиях как «цифровое профилирование» не приходится и говорить, хотя практики профилирования уже, несомненно, реализуются органами публичной власти. Законодательство отстаёт, но это связано не только с той простой истиной, согласно которой законодательство всегда отстаёт от изменения общественных отношений и, по большей части, закрепляет то, что уже сложилось и доказало свою жизнеспособность. Законодательство отстаёт и потому, что проводникам новых технологий и механизмов управления, социальным инженерам и тем слоям, чьи интересы они обеспечивают, не нужна лишняя огласка мероприятий, которые могут носить довольно-таки сомнительный характер. Законодательство отстаёт, т.к. его разработка и принятие всегда порождают общественную дискуссию – новейшие же технологии социального контроля внедряются в нашу жизнь, будто плоды объективного развития, альтернативы которым нет.

Вероятно, в ближайшие годы мы станем свидетелями достаточно глубоких трансформаций как в области законодательства, так и в области правоприменения. Фактически внедряемые механизмы социального контроля, опирающиеся на персональные данные репутационного характера, сначала должны будут стать повседневной реальностью, войти в привычную жизнь миллионов людей, чтобы спустя некоторое время их можно было бы описать в нормативных правовых актах, свести воедино факт и норму. По всей видимости, на начальном этапе внедрение новых технологий цифрового профилирования и принятия решений на основе алгоритмической оценки персональных данных будет использовать лакуны, недосказанности, пробелы в позитивном праве. Большое значение для внедрения социально-кредитных механизмов и инструментов цифрового профилирования могут сыграть экспериментальные правовые режимы, устанавливаемые отдельными законодательными актами и распространяющие своё действие на ограниченное пространство и ограниченный круг субъектов. Кстати, в России нормативная база для экспериментов с цифровыми технологиями публичного управления уже имеется [5; 14; 15].

References
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
Link to this article

You can simply select and copy link from below text field.


Other our sites:
Official Website of NOTA BENE / Aurora Group s.r.o.