В условиях тотальной цифровизации экономики персональные данные (далее – ПД) превратились в ключевой актив гражданского оборота, массовая обработка которого сопряжена с рисками крупномасштабных утечек (data breach). Ежегодно фиксируются десятки крупных инцидентов, в результате которых в открытый доступ попадают сведения о миллионах граждан.
Несмотря на последовательное усиление административной и уголовной ответственности, гражданско-правовые механизмы возмещения вреда субъектам данных остаются недостаточно эффективными. Основная проблема – сложность квалификации утечки как гражданского правонарушения, доказывания причинно-следственной связи и обоснования размера компенсации. Необходимость поиска новых векторов развития гражданского законодательства диктуется как ростом числа киберугроз, так и потребностью в реальном восстановлении нарушенных прав пострадавших граждан.
Объектом исследования являются гражданско-правовые отношения, возникающие вследствие нарушения конфиденциальности ПД и причинения вреда их субъектам. В работе применены метод системного анализа и формально-юридический метод. Теоретическую основу составили актуальные исследования в области ИТ-права и деликтологии и материалы доктринальных дискуссий о трансформации модели гражданско-правовой ответственности.
Гражданско-правовая ответственность за утечку традиционно конструируется на основе виновной модели (ст. 1064 ГК РФ). Истец обязан доказать четыре элемента: противоправность поведения оператора, наступление вреда, причинно-следственную связь и вину.
Каждый элемент превращается в самостоятельный барьер: оператор ссылается на действия третьих лиц (хакеров), отрицает связь с конкретным причиненным вредом и оспаривает размер морального вреда. В связи с этим в доктрине обсуждается переход к модели объективной (безвиновной) ответственности оператора как профессионального участника оборота, обязанного нести риски, связанные с созданием повышенной опасности для информационной сферы.
П.А. Новиков обосновывает применение к деятельности крупных операторов аналогии с режимом источника повышенной опасности (ст. 1079 ГК РФ) и предлагает методику расчета компенсации на основе системы объективных коэффициентов: категории данных, масштаба нарушения, вида оператора [1, с. 158]. Логику дифференциации операторов поддерживает А.В. Минбалеев, указывая на необходимость различных требований к субъектам обработки в зависимости от объема обрабатываемой информации [2, с. 154].
Центральным способом защиты выступает компенсация морального вреда. Тем не менее средний размер присуждаемых компенсаций остается необоснованно низким (как правило, 5 00–5 000 рублей) [3, с. 243], что нивелирует превентивную функцию гражданского права и не создает у операторов экономических стимулов к инвестированию в кибербезопасность.
Особую остроту проблема приобретает в отношении изображений граждан: размещение фотографии пациента клиники без надлежащего согласия одновременно нарушает право на изображение (ст. 152.1 ГК РФ) и правовой режим ПД [4, с. 366].
Перспективным направлением является развитие института групповых (коллективных) исков. Групповой иск позволяет объединить требования тысяч пострадавших в одном производстве, что делает процесс экономически целесообразным для истца и усиливает переговорную позицию заявителей в спорах с крупными ИТ-корпорациями.
Однако процессуальные сложности формирования группы – отсутствие четкого механизма идентификации всех пострадавших, узкие критерии однородности требований – препятствуют широкому использованию инструмента. Требуется совершенствование главы 28.2 АПК РФ и главы 22.3 ГПК РФ, в том числе закрепление презумпции включения субъекта в группу при подтвержденном факте обработки его данных конкретным оператором.
Также новации необходимы в части внедрения дополнительных финансовых гарантий ответственности. Существует потребность во внедрении обязательного киберстрахования, в частности, относительно ответственности за утечки ПД. Такая модель позволила бы адаптировать классические нормы о возмещении вреда к реалиям цифрового оборота, где ущерб часто носит массовый, отсроченный и не всегда очевидный характер.
Анализ гражданско-правового аспекта возмещения вреда при утечках ПД позволяет сделать вывод о необходимости системной трансформации традиционной деликтной модели. Ключевыми направлениями развития должны стать:
1) легализация презумпции вреда при подтвержденном факте утечки, освобождающая истца от непосильного бремени доказывания моральных страданий;
2) поэтапный переход к объективной (безвиновной) ответственности крупных операторов по модели источника повышенной опасности (ст. 1079 ГК РФ);
3) унификация судебной практики с установлением справедливых и предсказуемых границ компенсаций;
4) развитие института групповых исков с упрощением процедур формирования группы лиц;
5) внедрение обязательного киберстрахования и иных финансовых гарантий ответственности операторов.
Только комплексное развитие процессуальных и материальных норм позволит превратить право на возмещение вреда из преимущественно декларативного в реально действующий инструмент защиты прав субъектов персональных данных.
