В статье исследуется зарубежный опыт правового регулирования и защиты персональных данных в условиях роста их объема вследствие глобальной цифровизации. Проводится сравнительный анализ законодательных подходов стран Европейского союза и Китая, выявляющий общую тенденцию к совершенствованию и детализации правовых норм, включая определение ключевых понятий. На основе проведенного анализа авторы приходят к выводу о необходимости конкретизации положений Федерального закона «О персональных данных». Предлагаемые изменения направлены на усиление защиты прав граждан РФ и гармонизацию отечественного законодательства с международными трендами в области регулирования цифрового пространства.

Ключевые слова: персональные данные, утечка персональных данных, защита персональных данных, правовое регулирование, цифровизация

Глобальная цифровизация и стремительное распространение IT-технологий закономерно ведут к беспрецедентному росту объемов обрабатываемых персональных данных. Это обуславливает повышенную актуальность вопросов их защиты, что является общемировым трендом и ключевым приоритетом для Российской Федерации. Обеспечение конфиденциальности и безопасности информации превратилось в одну из центральных задач для государства — учащение случаев масштабных утечек, кибератак на аккаунты и роста преступлений в данной сфере напрямую стимулирует законодателей к разработке и внедрению специализированных правовых механизмов.

В Российской Федерации правовое регулирование в указанной области преимущественно обеспечивается положениями Федерального закона «О персональных данных» [1]. Нормативный акт в ст. 3 закрепляет следующее определение персональных данных: «персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». Помимо этого, законодатель регламентирует процедуру распространения персональных данных среди ограниченного круга лиц, которая допускается исключительно при наличии санкции субъекта в виде предварительного согласия.

Важно отметить, что каждое государство обладает уникальной спецификой в сфере правового регулирования защиты персональных данных. Вместе с тем, в настоящее время отсутствует консенсус относительно того, что какая-либо национальная модель может считаться абсолютным «эталоном» или достигла идеала в гарантировании высочайшего уровня безопасности персональных данных.

Особенный интерес для сравнительно-правового анализа представляет законодательство государств Европейского Союза. Знаковым событием стало принятие 27 апреля 2016 г. Европейским Парламентом и Советом Европы «Общего регламента по защите персональных данных» [2] (General Data Protection Regulation, GDPR) (вступил в силу 25 мая 2018 г.). Данный нормативный акт в ст. 4 дает следующую трактовку персональных данных: ««персональные данные» (personal data) — означают любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу («субъект данных»); идентифицируемое физическое лицо является лицом, которое может быть идентифицировано прямо или косвенно, в частности, на основе идентификационной информации, такой как имя, идентификационный номер, данные о местоположении, идентификатор в интернете (онлайн-идентификатор) или посредством одного или нескольких показателей, характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности данного физического лица». Нельзя не отметить, что понятие «персональные данные» в рамках европейского законодательства определено весьма широко.

GDPR не только значительно расширяет границы объекта защиты персональных данных, но также и закрепляет комплекс прав субъектов в процессе обработки их данных, ужесточает обязательства операторов, вводит жесткие стандарты для работы с конфиденциальными сведениями; регламентирует соответствующую деятельность государственных структур, одновременно усиливая механизмы юридической защиты. Важно и то, что сфера действия GDPR не зависит от формата хранения данных: будь то бумажные носители, электронные информационные системы или записи с устройств видеонаблюдения — все они подлежат классификации в соответствии с заранее определенными критериями.

Помимо этого, GDPR делегирует национальным правительствам право разрабатывать собственные нормативные положения по широкому спектру вопросов, включая обработку специальных категорий персональных данных. Также на уровне государств-членов могут быть установлены исключительные обстоятельства, при которых обработка таких данных признается законной даже без согласия субъекта в силу чрезвычайности ситуации [3].

К примеру, в Германии основой регулирования в области защиты персональных данных служит Федеральный закон о защите данных (Bundesdatenschutzgesetz — BDSG) [4] (текущая редакция действует с 01 декабря 2021 г.). Он распространяется на обработку информации как государственными, так и частными структурами. Будучи членом ЕС, Германия имплементировала общеевропейский GDPR, дополнив его национальными нормами для отдельных отраслей — таких как здравоохранение и трудовые отношения, — которые конкретизируют и усиливают общие предписания GDPR. В Италии, также входящей в Евросоюз, базовым актом долгое время являлся Кодекс защиты данных (D.lgs. n. 196/2003) [5], принятый в 2003 году. Он закладывал основы обработки персональных данных, включая требование о получении согласия субъекта и реализации мер безопасности. С вступлением в силу GDPR в 2018 году итальянское законодательство было адаптировано: Кодекс стал выполнять роль дополнения к GDPR, введя более жёсткие стандарты для всесторонней защиты данных. Например, на компании возложена обязанность прозрачно информировать о целях обработки и предоставлять возможность легко отозвать ранее данное согласие. Конечная цель итальянского регулирования — гарантировать не только законное, но и этичное использование персональных данных, обеспечивая тем самым защиту прав граждан.

Сравнивая трактовки Федерального закона «О персональных данных» и GDPR, можно отметить их концептуальное сходство. Российский закон трактует персональные данные как любую информацию, относящуюся к прямо или косвенно определенному либо определяемому физическому лицу. Аналогично, GDPR определяет их как сведения, относящиеся к идентифицированному или идентифицируемому физическому лицу. Ключевое отличие заключается в степени детализации: европейский регламент дает более развернутую трактовку, конкретно указывая, что к идентификаторам относятся имя, номер, данные о местоположении, онлайн-идентификатор, а также факторы физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности. Следовательно, определение «персональные данные» в GDPR отличается большей конкретикой и широтой охвата потенциальных идентификаторов.

Анализируя подходы азиатских государств к защите персональных данных, особого внимания заслуживает опыт Китая. Стремительное технологическое и промышленное развитие обусловило эволюцию данной сферы в КНР: от фрагментарного регулирования к целенаправленному, а затем и к комплексному. 01 ноября 2021 года в Китае был принят Закон о защите персональных данных (Personal Information Protection Law of the People's Republic of China, PIPL) [6], призванный обеспечить всестороннюю защиту информации. Как отмечает Г. Гун, данный акт «отражает идеологию развития, ориентированного на потребности и стремления народа в новую эпоху, а также предлагает создание международного цифрового правопорядка «Китайский вариант» [7, С.159]. С данным мнением следует согласиться, так как PIPL представляет собой первый в стране специализированный закон, устанавливающий системные гарантии защиты персональных данных — он консолидирует разрозненные нормы, формирует целостный институт защиты, расширяет правовые механизмы и создает основу для защиты законных интересов граждан. Одновременно PIPL предоставляет компаниям четкие ориентиры для легитимной обработки данных, способствуя устойчивому развитию цифровой экономики в рамках построения правового государства.

Стоит подчеркнуть, что в отличие от российского и европейского законодательства, PIPL оперирует понятием «личная информация» вместо традиционного термина «персональные данные». Согласно PIPL, под личной информацией понимаются любые сведения, зафиксированные в электронной или иной форме, которые относятся к идентифицированному физическому лицу. Кроме того, PIPL вводит особую категорию конфиденциальных данных, обозначаемую как «sensitive personal information». В ст. 28 раздела II к данной категории относится информация, утечка или неправомерное использование которой способны нанести ущерб достоинству личности, а также повлечь серьезные последствия для личной или имущественной безопасности. В качестве примеров приведены биометрические данные, религиозные убеждения, специальный статус, медицинские и финансовые сведения, данные о местоположении и т. д.

В отличие от ст. 9 GDPR, где приведен исчерпывающий перечень особых категорий персональных данных, ст. 28 PIPL дает более широкое определение, не ограничиваясь строго заданным списком, но акцентируя внимание на потенциальных последствиях нарушения конфиденциальности такой информации.

Как справедливо отмечает Куриленко Ю. А.: «GDPR является самым жестким законом в мире, касающимся безопасности и конфиденциальности. Так, GDPR при нарушении введенных стандартов могут накладываться огромные, порой многомиллионные, штрафы» [8, С.217]. Вместе с тем, китайский PIPL устанавливает сопоставимые по строгости санкции: штраф за нарушения может достигать 50 млн. юаней или 5 % годового оборота компании. Дополнительными мерами ответственности выступают также приостановление деятельности или полная аннуляция лицензии, что создает для бизнеса в КНР более высокие риски по сравнению с другими юрисдикциями. Кроме того, отличительной чертой PIPL является введение персональной ответственности должностных лиц (ст. 66 PIPL). В случае таких нарушений предусмотрены штрафы от 10 тыс. до 1 млн. юаней, а также запрет на занятие руководящих позиций, связанных с обработкой личной информации.

Анализируя меры ответственности за нарушения в сфере защиты персональных данных в Российской Федерации, следует отметить значительное ужесточение законодательства. С 30 ноября 2024 года двумя федеральными законами: от 30 ноября 2024 г. № 421-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации» [9] и от 30 ноября 2024 г. № 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» были внесены поправки [10], усиливающие санкции за незаконное распространение конфиденциальной информации (утечка персональных данных). Дальнейшее развитие защиты персональных данных произошло 30 мая 2025 года, когда вступили в силу новые изменения в законодательстве — поправки не только скорректировали существующие подходы, но и существенно усилили ответственность за нарушения требований к защите информации [11]. Представляется, что такие законодательные изменения будут способствовать повышению уровня ответственности организаций при работе с персональными данными, а также создадут дополнительные стимулы для инвестиций в совершенствование систем информационной безопасности.

Проведенный анализ зарубежного опыта регулирования и защиты персональных данных показывает, что определение, закрепленное в Федеральном законе «О персональных данных», является достаточно широким, что вызывает целесообразность внесения изменений. Опыт ЕС (GDPR) и Китая (PIPL) показывает ценность конкретизации, а также предопределяет необходимость сохранения актуальности правовых норм в условиях стремительной цифровизации. Считаем, что, как и в PIPL, в Федеральный закон «О персональных данных» предлагается добавить неисключительный примерный перечень идентификаторов (геолокация, онлайн-идентификатор, биометрия и др.), что снизит правовую неопределенность для бизнеса и государственных структур. В связи с чем предлагаем следующее определение персональных данных: «персональные данные — любая информация, относящаяся к прямо или косвенно идентифицированному либо идентифицируемому физическому лицу (субъекту персональных данных). Идентифицируемым является лицо, которое может быть прямо или косвенно определено, в частности, через ссылку на один или несколько следующих идентификаторов: фамилия, имя, отчество; биометрические данные; данные о состоянии здоровья; электронный адрес, учетная запись, IP-адрес, cookie-файлы и иные онлайн-идентификаторы; геолокационные данные; номера документов, удостоверяющих личность; сведения о профессиональной деятельности; иные объективные признаки, характеристики или свойства, использование которых позволяет или может позволить установить личность субъекта».

Внедрение подобного подхода в российское законодательство могло бы гармонизировать российское законодательство с лучшими международными практиками, усилить защиту прав граждан, а также дать бизнесу четкие ориентиры и соответствовать глобальным трендам в регулировании цифрового пространства, сделать его более гибким и соответствующим современным угрозам.

Литература:

1. Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 24.06.2025) «О персональных данных» // СЗ РФ. 2006. № 31 (часть I). Ст. 3451; 2025. № 28. Ст. 3840.
2. Перевод Регламента General Data Protection Regulation (GDPR) Европейского Союза. URL: https://rppa.pro/_media/world/gdpr.pdf (дата обращения 15.09.2025).
3. Охрана персональных данных: опыт Европейского сообщества // «Журнал Суда по интеллектуальным правам», 2019. № 25. С. 5–14. URL: https://ipcmagazine.garant.ru/articles/1729209/ (дата обращения 15.09.2025).
4. Bundesdatenschutzgesetz (BDSG). URL: https://www.gesetze-im-internet.de/bdsg_2018/BDSG.pdf (дата обращения 15.09.2025).
5. Personal Data Protection Code (Legislative Decree no. 196 of 30 June 2003). URL: https://pd.rkn.gov.ru/docs/Personal_Data_Protection_Code.pdf (дата обращения 15.09.2025).
6. Personal Information Protection Law of the People's Republic of China. URL: http://en.npc.gov.cn.cdurl.cn/2021–12/29/c_694559.htm (дата обращения 15.09.2025).
7. Гун Н. Защита персональных данных в Китае: законодательство в цифровую эпоху / Н. Гун // Вестник Санкт-Петербургского университета. Право. Санкт-Петербург: Санкт-Петербургский государственный университет, 2023. Т. 14, № 1.С. 159–172.
8. Куриленко Ю. А. Обеспечение информационной безопасности при утечке, разглашении и торговле персональными данными / Ю. А. Куриленко, Ю. Г. Едигарева, Ле Тхи Ван // Криминологический журнал, 2023. № 2. С. 216–221.
9. Федеральный закон от 30.11.2024 г. № 421-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации» // СЗ РФ. 2024. № 49 (часть IV). Ст. 7412.
10. Федеральный закон от 30.11.2024 г. № 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» // СЗ РФ. 2024. № 49 (часть IV). Ст. 7411.
11. Персональные данные: новые штрафы с 30 мая 2025 года. URL: https://www.consultant.ru/legalnews/28492/ (дата обращения 15.09.2025).