!Учебный год 2024 / Lex russica_11
.pdf
Некотенева М. В., Пономарёва Д. В.
Развитие правового регулирования применения мобильных медицинских технологий (mHealth)…
довойтехнологии—дляпечатибиологического |
Источники вторичного права в сфере мобильного |
материала; |
медицинского здравоохранения (mHealth) |
б) дополненную виртуальную реальность |
|
длярекламы,обучения(пациентовимедицин- |
Применительно к Европейскому Союзу как эф- |
ских работников) или терапевтических целей; |
фективнофункционирующемунаевропейском |
в) искусственный интеллект (ИИ). Европей- |
пространстве интеграционному объединению |
ская комиссия определяет его как «программ- |
сто́ит подчеркнуть, что в его пределах создана |
ное обеспечение, которое разработано с ис- |
единая правовая среда в области цифрового, в |
пользованием одного или нескольких методов |
томчислемобильного,здравоохранения.Нор- |
и подходов <…> и которое может для задан- |
мативнуюосновувуказаннойсфересоставляют |
ногонаборапоставленныхцелейгенерировать |
следующие документы Союза: |
результаты, такие как содержание, прогнози- |
а)РегламентЕвропейскогопарламентаиСо- |
рование, рекомендации или решения, влия- |
ветаЕвропейскогоСоюза2017/745от05.04.2017 |
ющие на среду, с которой они взаимодейст- |
омедицинскихизделиях,обизмененииДирек- |
вуют»2. В настоящее время ИИ используется в |
тивы 2001/83/EC, Регламента (ЕС) 178/2002 и |
медицинских целях для обеспечения проведе- |
Регламента (ЕС) 1223/2009, а также об отмене |
ния интеллектуального анализа данных, в том |
Директив 90/385/ЕЭС и 93/42/ЕЭС Совета ЕС; |
числе для целей диагностики заболеваний, |
б) Регламент Европейского парламента |
выявлениябиомаркеров,определенияидеаль- |
и Совета Европейского Союза 2017/746 от |
ных препаратов для проведения клинических |
05.04.2017 о медицинских изделиях для диа- |
испытаний; |
гностики in vitro, а также об отмене Директивы |
г) блокчейн, который применяется как тех- |
98/79/EC и Решения 2010/227/ЕС Европейской |
нология отслеживания при создании цепочек |
Комиссии; |
поставокмедицинскихпродуктовиуправления |
в) Директива Европейского парламента |
клиническими испытаниями; |
и Совета Европейского Союза 2006/42/EC от |
д) дроны, являющиеся перспективной тех- |
17.05.2006 о машинах и механизмах; |
нологией для использования при транспорти- |
г) Регламент Европейского парламента |
ровкелекарственныхсредствибиологического |
и Совета Европейского Союза 1025/2012 от |
материала, в том числе органов; |
25.10.2012 о европейской стандартизации, |
е) интернет вещей (IoT), применяемый для |
изменении Директив 89/686/ЕЭС и 93/15/ЕЭС |
удаленного наблюдения и так называемой |
СоветаЕСиДиректив94/9/EC,94/25/EC,95/16/ |
удаленной хирургии (речь идет в том числе об |
EC,97/23/EC,98/34/EC,2004/22/EC,2007/23/EC, |
использовании медицинских (хирургических) |
2009/23/EC и 2009/105/EC Европейского пар- |
роботов); |
ламента и Совета ЕС и отмене Решения 87/95/ |
ж) программное обеспечение, в частности, |
ЕЭС Совета ЕС и Решения 1673/2006/EC Евро- |
мобильные приложения, которые использу- |
пейского парламента и Совета ЕС; |
ются для различных целей: самодиагностики, |
д)ДирективаСоветаЕвропейскихСообществ |
медицинского обучения пациентов (например, |
2013/59/Евратом от 05.12.2013, устанавлива- |
для самостоятельного назначения лечения или |
ющая базовые стандарты защиты от рисков, |
соблюдениярежималечения),содействиявпро- |
возникающих от воздействия ионизирующего |
ведениинаучныхисследований(клиническихис- |
излучения, и отменяющая Директивы 89/618/ |
следований),помощимедицинскимработникам. |
Евратом, 90/641/Евратом, 96/29/Евратом, |
Вданнойстатьерассмотренопытправового |
97/43/Евратом и 2003/122/Евратом; |
регулирования применения мобильных меди- |
е) Директива Европейского парламента |
цинскихтехнологий(ММТ,mHealth)вкрупней- |
и Совета Европейского Союза 2005/36/ЕС от |
шемрегиональноминтеграционномобъедине- |
07.09.2005 о признании профессиональных |
нии —ЕвропейскомСоюзе(ЕС). |
квалификаций; |
|
ж) Директива Европейского парламента |
|
и Совета Европейского Союза 2011/24/ЕС от |
|
09.03.2011 о правах пациентов в трансгранич- |
|
ном медицинском обслуживании; |
2См.: Предложение Европейской Комиссии о Регламенте об искусственном интеллекте — Proposal for a RegulationoftheEuropeanParliamentandoftheCouncilLayingDownHarmonisedRulesonArtificialIntelligence
|
LEX RUSSICA |
|
Том 76 № 11 2023 |
119 |
|
|
|
|
LEX RUSSICA
Международное право JUS GENTIUM
з)ДирективаСоветаЕвропейскихСообществ от25.07.1985№ 85/374/ЕЭСо сближениизаконов,регламентовиадминистративныхположений государств-членов, применяемых к ответственностизанеисправнуюпродукцию;
и) Директива 2001/95/ЕС Европейского парламента и Совета от 03.12.2001 об общей безопасности продукции;
к) Директива Европейского парламента и Совета ЕС(ЕС) 2016/1148от06.07.2016 о мерах по достижению высокого общего уровня безопасности сетевых и информационных систем Союза;
л) Регламент Европейского парламента и Совета 2019/1020 от 20.06.2019 о надзоре за рынкомисоблюдениитребованийкпродуктам
ивносящий поправки в Директиву 2004/42/ЕС
иРегламенты (ЕС) № 765/2008 и (ЕС) № 305/ 2011;
м) Регламент Европейского парламента
иСовета Европейского Союза 2016/679 от 27.04.2016 о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных — General Data Protection Regulation / GDPR);
н)ДирективаЕвропейскогопарламентаиСоветаЕвропейскогоСоюза96/9/ЕСот11.03.1996 о правовойохранебазданных;
о) Директива Европейского парламента
иСовета Европейского Союза 2016/943 от 08.06.2016 о защите конфиденциальных ноухау и деловой информации (коммерческой тайны) от незаконного приобретения, использования и раскрытия;
п) Директива Европейского парламента
иСовета Европейского Союза 2019/790 от 17.04.2019обавторскомправеисмежныхправах на едином цифровом рынке, а также об изменении Директив 96/9/EC и 2001/29/EC.
Применение Регламентов 2017/745 и 2017/746 необходимо для квалификации и классификации медицинских технологий, определения того, является ли технология медицинским устройством (в том числе для диагностики in vitro). Квалификация технологии какмедицинскогоустройствапонормамправа ЕС предполагает нанесение соответствующей маркировки; определяет, каковы обязательстваоператоров,участвующихвпроизводствеи
распространенииуказанныхустройств,атакже каковы направления и способы использования таких технологий. Требования к техническим характеристикам новейших медицинских устройств содержатся в Директиве 2006/42/ EC,Регламенте1025/2012,Директиве2013/59/ Евратом. Директивы 2005/36/ЕС и 2011/24/ЕС применяютсятакжевконтекстетелемедицины, хотя здесь всё же остается достаточно высокой роль национального законодателя.
Что касается вопросов обеспечения контроля ответственности и рисков в рассматриваемой сфере, то здесь сто́ит назвать Директиву 85/374/ЕЭС (предусматривает ответственность запродуктысдефектами),Директиву2001/95/ ЕМ (включает положения об обеспечении общей безопасности продукции), Директиву 2016/1148 (содержит меры по обеспечению высокого общего уровня безопасности сетевых и информационных систем в Союзе), а также Регламент 2019/1020 (положения данного Регламента применяются к медицинским устройствам как lex generalis).
Безусловно, важнейшим аспектом цифровогоздравоохранения,втомчислеприменения мобильных медицинских технологий, является защита и обеспечение конфиденциальности персональных данных пациентов (в качестве основного документа применяется Регламент 2016/679 (GDPR)). Ключевое значение также имеютдокументы,предусматривающиеохрану правинтеллектуальнойсобственности,созданнойсиспользованиемуказанныхданных:Бернскаяконвенцияобохранелитературныхихудожественныхпроизведений1886г.,Европейская патентная конвенция 1973 г., Директива 96/9/ ЕС (посвящена правовой охране баз данных), Директива 2016/943 (регламентирует защиту коммерческой тайны) и Директива 2019/790 (предусматриваетзащитуавторскихисмежных прав в пределах Единого цифрового рынка).
Такимобразом,длярегулированиядеятельности, связанной с цифровым и мобильным здравоохранением, в ЕС сформирована согласованная, хотя и фрагментированная правовая база.
При этом выше перечислены документы, которые содержат общеевропейские правила в отношении цифровых технологий в области здравоохранения. Есть ряд существенных вопросов, которые в нормативном разрезе могут
(Artificial Intelligence Act) and Amending Certain Union Legislative Acts, COM/2021/206 final// URL: https:// eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52021PC0206 (дата обращения: 04.06.2023).
120 |
|
Том 76 № 11 2023 |
|
|
|
Некотенева М. В., Пономарёва Д. В.
Развитие правового регулирования применения мобильных медицинских технологий (mHealth)…
быть разрешены только на уровне отдельных |
ки усугубляются отсутствием на уровне ЕС спе- |
государств, поскольку те или иные правила |
циального правового регулирования в области |
не могут быть гармонизированы в силу раз- |
мобильного здравоохранения и непримени- |
личных причин. К таким вопросам относятся: |
мостью к указанной области правовой базы ЕС |
налоговое регулирование (налоговые правила |
в отношении здоровья и прав пациентов. Хотя |
необходимо определить в соответствии с на- |
Регламент 2016/679 (GDPR) предусматривает |
циональным законодательством, например, |
прочнуюнормативнуюосновудлязащитыдан- |
в случае предоставления медицинских услуг |
ных о здоровье пациента, на практике многие |
онлайн); возмещение расходов на разработку |
положения локальных документов, на основа- |
и внедрение новых медицинских технологий |
нии которых разрабатываются и используются |
(данный вопрос остается сугубо национальной |
приложения mHealth, не соответствуют евро- |
прерогативой); гражданско-правовая и уголов- |
пейским требованиям. |
ная ответственность за нарушение требований |
Ключевыерискисвязанысобработкойболь- |
к качеству продукции. |
ших объемов данных о состоянии здоровья и |
Помимо развития собственного наднацио- |
с возможностями передачи данных третьим |
нального регулирования, ЕС активно сотруд- |
лицам. Не сто́ит забывать, что пользователи |
ничает с ВОЗ, учредив партнерство в области |
обладают ограниченной информацией и осу- |
цифрового здравоохранения3. Дополнитель- |
ществляютлимитированныйконтрольнадтем, |
ным стимулом для развития сотрудничества |
кто́имеет доступ к информации об их здоро- |
крупнейшего европейского интеграционного |
вье5.Возникаетпарадоксальнаяситуация:поль- |
объединения и единственной глобальной |
зователи применяют мобильные приложения, |
международной организации в области здра- |
чтобы расширить возможности для улучшения |
воохранения послужила пандемия COVID 19, |
собственного здоровья, при этом контроль за |
распространение которой побудило государ- |
данными о собственном здоровье они не осу- |
ства обеспечить глобальную мобильность и |
ществляют6. |
защиту граждан от угроз здоровью. Партнер- |
Указанные риски обостряются в связи с тем, |
ство ВОЗ-ЕС является инициативным структур- |
что на уровне ЕС отсутствует эффективное (не |
ным элементом Глобальной сети цифровой |
фрагментарное) правовое регулирование обо- |
сертификацииздоровьяВОЗ,котораябудетраз- |
значенной сферы. Правовая база ЕС, представ- |
рабатыватьширокийспектрцифровыхпродук- |
леннаявыше,нераспространяетсянапользова- |
тов для улучшения здоровья населения. Такое |
телей приложений mHealth для самоконтроля |
сотрудничество основано на общих ценностях |
здоровья. Когда традиционное нормативное |
ипринципахпрозрачности,открытости,инклю- |
регулирование не приводит к ожидаемому ре- |
зивности, подотчетности, защиты данных, кон- |
зультату, на помощь приходят альтернативные |
фиденциальности,безопасности,масштабируе- |
формыиспособырегулирования.Вцеляхобес- |
мости на глобальном уровне. |
печениязащитыданныхоздоровьепациентов |
Сотрудничество ВОЗ и ЕС в области цифро- |
врамкахмобильныхприложенийонлайн-плат- |
вого здравоохранения распространяется и на |
формы распространения мобильных приложе- |
разработкумобильныхмедицинскихприложе- |
ний (магазины приложений) могут применять |
ний.ВсёбольшеечислогражданЕвросоюзаис- |
инструменты саморегулирования. Магазины |
пользуютмобильныеприложениядлясамокон- |
приложений в ЕС предлагают упорядоченное, |
троляздоровья4.Обработкабольшихданныхо |
иерархическое регулирование применения |
здоровье человека с помощью программного |
мобильных медицинских приложений, обес- |
обеспечения, используемого в приложениях, |
печивая процедуру их проверки. Магазины |
создает серьезные риски для личной автоно- |
требуют от разработчиков приложений соблю- |
миипользователейтакихприложений.Этирис- |
датьопределенныеправилаврамкахпроцесса |
3 URL: https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3043 (дата обращения: 04.06.2023).
4Incisive Health International, Taking the Pulse of eHealth in the EU: An Analysis of Public Attitudes to eHealth Issues in Austria, Bulgaria, Estonia, France, Germany, Italy, and the UK (2017).
5Spiller K. et al. Data Privacy: Users’ Thoughts on Quantified Self Personal Data // Self-Tracking: Empirical and Philosophical Investigations / Btihaj Ajana ed. 2018. P. 111–124.
6Lucivero F., Jongsma K. R. A Mobile Revolution for Healthcare? Setting the Agenda for Bioethics // J. Med. Ethics. 2018. 44. P. 685.
|
LEX RUSSICA |
|
Том 76 № 11 2023 |
121 |
|
|
|
|
LEX RUSSICA
Международное право JUS GENTIUM
утверждения цифрового продукта, в том числе удалениеприложения,еслиононесоответствует требованиям. Подобная форма отраслевого саморегулирования позволяет магазинам приложений влиять на разработчиков.
Кпопулярным мобильным приложениям
всфере здравоохранения относятся счетчики калорий, приложения для контроля менструальногоциклаибеговыетрекеры.Такиеприложения отслеживают поведение пользователей
втечение длительного времени. Приложения mHealth нацелены в первую очередь на помощь в поддержании физической формы и в целом здорового образа жизни, поэтому они аккумулируютбольшиеобъемысведений,связанныхсоздоровьем,втомчислебиометрическиеданные,информациюожизненноважных функциях организма и ключевые показатели здоровья.СогласноРегламенту2016/679(GDPR) речь идет о «данных о здоровье» в широком смысле. Определение данных о здоровье предполагает,например,ито,чтоинформация об употреблении алкоголя за определенный период также рассматривается как сведения о здоровье, поскольку она связана с рисками возникновения определенных заболеваний. Темнеменеенекоторыесведениянеявляются изначальноданнымиосостоянииздоровья,но могут трансформироваться в таковые при проведении мониторинга в течение длительного времени(например,среднееколичествошагов
вмесяц,измеряемоеприпомощиприложенияшагомера), также сведения о здоровье могут объединятьсясдругимиданными(в частности, сведениями о ежедневном употреблении калорий, информацией в профиле в социальных сетях)7.
Вероятность нарушения прав пользователей мобильных медицинских приложений, в частности конфиденциальности информации, весьма высока. Неправильное использование данных о здоровье может привести к необратимым последствиям для субъектов данных и общественной среды. Очевидно, что такие данные представляют собой ценный товар, и компании, вовлеченные в работу с big data, проявляют к ним повышенный интерес вследствие дорогостоящего процесса их сбора8. Мобильноеприложениеможетстимулировать пользователей предоставлять всё больше дан-
ных о состоянии их здоровья, ведь это может гарантировать ему бо́льшую прибыль. В приложенияхаккумулируютсятакназываемыепассивно собираемые данные, например обзоры среднего количества шагов за месяц, которые регулярносохраняютсявнеконтроляпользователей.Крометого,мобильныеприложениядля здоровья части применяют стандартные условияиспользования,действующиепопринципу
«прими или откажись» (англ. take it or leave it).
Такимобразом,пользователиневсегдаосознают точный объем и тип собираемых данных9.
Существуют разумные опасения в отношении контроля пользователя над доступом к собранным данным о состоянии его здоровья. Большинство приложений предусматривают возможность раскрытия информации в будущем неопределенной аудитории. Так, многие приложения mHealth обмениваются данными
осостоянии здоровья между анонимными пользователями в целях сопоставления, операторы приложений могут продавать данные
оздоровье третьим лицам (рекламодателям, страховым компаниям, банковским организациям и т.д.). Приложения часто не позволяют детализировать согласие на обработку персональных данных: пользователи вынуждены даватьсогласиевотношениивсехполучателей и типов данных. Необходимо подчеркнуть, что обработкабольшихданныхосостоянииздоровья и обмен ими с третьими лицами в рамках приложенийmHealthкомпрометируютпользователей и могут представлять угрозу их праву на неприкосновенность частной жизни.
ВЕС вопросы конфиденциальности информацииоздоровьерегулируютсяразветвленной системойнормативныхактов,частичноназванных выше. На национальном уровне неприкосновенность частной жизни гарантируется системой защиты прав пациентов. Принцип конфиденциальности медицинской информациикраснойнитьюпроходитчерезрелевантное национальное правовое регулирование. Конфиденциальность медицинской информации подразумеваетправопациентанаконфиденциальность личных данных, а также обязанность медицинских работников защищать данные от несанкционированного доступа. Вместе с тем пользователи приложений mHealth, как правило, не считаются пациентами ни с точки
7 |
Art. 29 Data Protection Working Party, Annex — health data in apps and devices (2015). |
8 |
Cecere G. et al. Economics of Free Mobile Applications: Personal Data as a Monetization Strategy. 2018. P. 45. |
9 |
Ostherr K. et al. Trust and Privacy in the Context of User-Generated Health Data // Big data & Soc’y. 2017. 4. |
122 |
|
Том 76 № 11 2023 |
|
|
|
Некотенева М. В., Пономарёва Д. В.
Развитие правового регулирования применения мобильных медицинских технологий (mHealth)…
зрения разработчиков приложений, ни с пози- |
рый предполагает общий запрет на обработку |
циидействующейрегуляторики,посколькупри- |
данныхосостоянииздоровья,нопредусматри- |
ложения не служат собственно медицинским |
вает ограниченные отступления в том случае, |
целям и в их работе не участвует медицинский |
если данные о состоянии здоровья представ- |
персонал. Таким образом, пользователи при- |
ляют общественный интерес и не связаны с |
ложений не подпадают под систему защиты |
профессиональной тайной. В рамках прило- |
прав пациентов10. |
жения mHealth данные о состоянии здоровья |
НауровнеЕвропейскогоСоюзаприменение |
подлежат обработке только в том случае, если |
мобильныхмедицинскихтехнологийохватыва- |
пользователи предоставят явно выраженное |
ется регулированием медицинских устройств |
согласие. Регламент 2016/679 (GDPR) устано- |
в соответствии с Регламентом 2017/745. Под |
вил максимально широкую защиту конфиден- |
действие указанного документа подпадает |
циальности персональных данных в сочетании |
также программное обеспечение (включая |
со строго регламентированными правилами |
мобильные приложения), но только такое, ко- |
обработки и передачи таких данных, что в |
торое разработано для целей, обозначенных в |
значительной степени способствует эффектив- |
Регламенте 2017/745. Поскольку большинство |
ной защите прав пользователей приложений |
мобильных приложений для самоконтроля |
mHealth. |
состояния здоровья (мониторинг физической |
Тем не менее важно обратить внимание на |
формы, общего состояния здоровья) не пред- |
то,чторядэмпирическихисследованийдемон- |
назначены для целей медицины (лечения), |
стрируют фактическое несоответствие многих |
а сосредоточены лишь на общем состоянии |
приложенийположениямРегламента2016/679 |
здоровья, они не рассматриваются как меди- |
(GDPR)11. В частности, согласно исследованию |
цинские устройства и не подпадают под дейст- |
около 20 мобильных медицинских приложе- |
вие названного Регламента. Впрочем, если |
ний не соблюдают требование об обязатель- |
приложение mHealth имеет предполагаемое |
ном согласии пользователя на обработку пер- |
медицинское назначение (это могут быть при- |
сональныхданных:бо́льшаячастьприложений |
ложения для самоконтроля, рекомендован- |
(около 55 %) предоставляют информацию о |
ные врачом), Регламент 2017/745 может быть |
политике конфиденциальности только перед |
применен. В любом случае, данный Регламент |
регистрацией пользователя, лишь 5 % при- |
обеспечивает защиту конфиденциальности |
ложений запрашивают согласие каждый раз, |
информации о здоровье в соответствии с Ре- |
когда пользователь делится дополнительной |
гламентом 2016/679 (GDPR). |
информацией личного характера, ни одно из |
Регламент 2016/679 (GDPR) является основ- |
приложенийнепредполагаетпримененияявно |
ныминструментомзащитыконфиденциально- |
выраженного согласия спомощьюзаполнения |
сти данных о здоровье в Европейском Союзе и |
формы-анкеты(онлайн-формы),35 %приложе- |
применяется к приложениям mHealth, доступ- |
ний предлагают возможность отзы́ва согласия |
ным для использования в ЕС. Основной прин- |
и удаления данных о состоянии здоровья12. |
цип,заложенныйвРегламент2016/679(GDPR), |
В другом исследовании было отмечено, что из |
гласит:любаяобработкаперсональныхданных |
24 проанализированных приложений mHealth |
должна осуществляться на основании закона. |
79 %отправляютданныеосостоянииздоровья |
Регламентпредусматриваетобязанностиобра- |
пользователя третьим лицам непрозрачным |
ботчиков и контролеров обработки данных, а |
способом13. |
также предоставляет права субъектам данных |
Таким образом, на практике довольно |
для усиления контрольных полномочий с их |
большое число мобильных медицинских при- |
стороны. Документом закрепляется специаль- |
ложений, применяемых в ЕС, не соответствуют |
ный режим защиты данных о здоровье, кото- |
требованиям Регламента 2016/679 (GDPR). Это |
10Commission Staff Working Document on the existing EU legal framework applicable to lifestyle and wellbeing apps Accompanying the document Green Paper on mobile Health («mHealth») (2014).
11Grundy Q. etal.DataSharingPracticesofMedicinesRelatedAppsandtheMobileEcosystem:Traffic,Content, and Network Analysis // BMJ. 2019. 364. l920.
12Papageorgiou A. et al. Security and Privacy Analysis of Mobile Health Applications: The Alarming State of Practice/ PP IEEE Access 1–1 (2018).
13Grundy Q. et al. Op. cit.
|
LEX RUSSICA |
|
Том 76 № 11 2023 |
123 |
|
|
|
|
LEX RUSSICA
Международное право JUS GENTIUM
объясняетсятем,чтоприложенияразрабатыва- |
ются с другими существующими нормами, что |
ютсялюдьми,которыенекомпетентныввопро- |
делает общую систему регулирования всё бо- |
сах применения европейского наднациональ- |
лее сложной. |
ного законодательства о защите персональных |
В контексте обеспечения защиты данных |
данных.Вследствиебольшогочисладоступных |
саморегулирование становится распростра- |
приложенийнадзорсосторонырегулирующих |
ненным явлением. Компании предпочитают |
органов весьма затруднен из-за нехватки соот- |
дополнять действующее законодательство ин- |
ветствующих ресурсов. В большинстве госу- |
струментами саморегулирования вследствие |
дарств — членов ЕС отсутствуют организации, |
необходимостиобеспечитьзащитуправпотре- |
отвечающие за нормативный надзор за при- |
бителей, повысить общественное доверие и |
менением приложений mHealth. Отсутствие |
репутацию, ликвидировать негативное обще- |
надзора приводит к снижению уровня соблю- |
ственное мнение. Регламент 2016/679 (GDPR) |
даемости требований. Регламент 2016/679 |
поддерживаетипоощряетсаморегулирование |
(GDPR) предлагает актуальную и достаточную |
предприятий в форме кодексов поведения и |
правовуюосновудляобеспечениязащитыдан- |
обязательных корпоративных правил. Кроме |
ных о состоянии здоровья, но игнорирование |
того,Европейскаякомиссияпредприняла(пока, |
разработчиками приложений его требований |
правда,безуспешно)шагипосозданиюдобро- |
делает указанный документ неэффективным. |
вольного Кодекса поведения в отношении |
Отсутствие эффективного законодательно- |
конфиденциальности данных в рамках прило- |
го регулирования приводит к необходимости |
жений мобильного здравоохранения для раз- |
поиска альтернативной регуляторики, коей в |
работчиков15. |
данном случае вполне может стать саморегу- |
В отраслевом саморегулировании в обла- |
лирование. Не умаляя значимости магазинов |
сти mHealth заметно, что магазины приложе- |
приложений в обеспечении соответствия мо- |
ний уже играют важную роль, регламентируя |
бильных продуктов требованиям Регламента |
в том числе сторонние приложения mHealth, |
2016/679 (GDPR) и роли цифровых платформ |
распространяемые на их платформах. Такая |
в защите основных прав пользователей, цен- |
экосистемаработаетследующимобразом:раз- |
тральный вопрос относительно применения |
работчику необходимо разместить свой про- |
данныхприложенийследуетсвязатьссоциаль- |
дукт в магазине приложений, чтобы широкий |
ными проблемами медиаплатформ. |
круг потребителей могли загрузить его на свои |
Саморегулирование можно определить как |
мобильные устройства; магазины приложений |
«процесс регулирования, посредством кото- |
требуют от разработчиков соблюдать опреде- |
рого организация на уровне отрасли, а не на |
ленные правила в рамках процесса предва- |
уровне органов государственной власти или |
рительного утверждения и могут удалять не |
организации… устанавливает и обеспечивает |
соответствующие требованиям права ЕС при- |
соблюдение правил и стандартов, касающихся |
ложения. |
поведения организаций в отрасли»14. К пре- |
Функционирование магазинов приложений |
имуществамсаморегулированияотносятсягиб- |
неохватываетсяРегламентом2016/679(GDPR). |
кость в адаптации правил к технологическим |
Магазины не рассматриваются правом ЕС как |
изменениям,болеевысокоекачествоправили |
обработчикииликонтролерыданных,посколь- |
приверженностьсубъектовсаморегулирования |
куонинеосуществляютконтрольнадличными |
им. Тем не менее саморегулирование имеет и |
данными пользователей, а просто предостав- |
свои ограничения, особенно применительно |
ляют поставщикам приложений платформу, на |
к защите основных прав. Инструменты само- |
которойтемогутразмещатьцифровыепродук- |
регулированиядалеконевсегдапредполагают |
ты. Однако магазины приложений могут вли- |
наличие действующих механизмов правопри- |
ять на то, как сторонние приложения, которые |
менения и мониторинга. В отдельных случаях |
квалифицируются как обработчики данных, |
инструменты саморегулирования не согласу- |
обеспечивают защиту таких данных. Именно |
14Gupta A. K., Lad L. J. Industry Self-Regulation: An Economic, Organizational, and Political Analysis // AMR. 1983. 8. P. 416.
15European Commission, Guidance Document Medical Devices — Scope, Field of Application, Definition — Qualification and Classification of Stand Alone Software (2016).
124 |
|
Том 76 № 11 2023 |
|
|
|
Некотенева М. В., Пономарёва Д. В.
Развитие правового регулирования применения мобильных медицинских технологий (mHealth)…
поэтому магазины приложений применяют |
Руководство содержит четкие правила в |
|
форму отраслевого саморегулирования. Хотя |
отношении данных о состоянии здоровья, об- |
|
магазиныприложенийприменяютэтиправила |
рабатываемых приложениями mHealth. Пред- |
|
кстороннимприложениямдобровольно,само- |
усматривается, что приложения не могут ис- |
|
регулирование не является добровольным с |
пользоватьилираскрыватьсобранныеданные |
|
точки зрения разработчиков приложений. |
о состоянии здоровья третьим лицам в целях |
|
Рассмотримпримерытого,какдействияма- |
рекламы, маркетинга или майнинга; не могут |
|
газиновприложенийвотношенииконфиденци- |
использовать данные о здоровье для целевой |
|
альностиданныхвлияютнаэффективностьме- |
или поведенческой рекламы. Тем не менее |
|
тодовзащитыданныхоздоровьепользователя. |
приложенияmHealthмогутприменятьилирас- |
|
|
крыватьданныеоздоровьевцеляхулучшения |
|
Судебная практика, повлиявшая |
управления здоровьем и проведения исследо- |
|
ваний в области здравоохранения, но только с |
||
на формирование подходов Европейского |
разрешенияпользователя.В руководствеотме- |
|
Союза к правовому регулированию применения |
чается, что разработчики не могут вводить не- |
|
мобильных медицинских технологий |
точные данные в приложения mHealth, а сами |
|
приложения не могут сохранять информацию |
||
Кейс Apple Store. Длятогочтобыразработчики |
||
о состоянии здоровья в облачном хранилище |
||
моглиразмещатьприложениявAppleAppStore, |
iCloud. |
|
они должны зарегистрироваться в программе |
Кейс Google Play. Критерии проверки при- |
|
Apple Developer Program, на которую распро- |
ложений для Google Play изложены в дистри- |
|
страняет действие соответствующее лицензи- |
бьюторском соглашении для разработчиков и |
|
онноесоглашение.Крометого,AppleAppStore |
программной политике для разработчиков17. |
|
проверяет все размещаемые приложения и |
Дистрибьюторское соглашение действует как |
|
обновленияприложенийсогласноруководству |
юридическиобязывающийдоговормеждураз- |
|
по проверке App Store16. Данное руководство |
работчиком приложения и компанией Google. |
|
содержит особые правила для приложений |
Что касается обработки персональных данных, |
|
mHealth — они могут подвергаться более тща- |
то в соглашении говорится, что приложения |
|
тельной проверке. Руководство также содер- |
должнысоответствоватьприменимымнормам |
|
житследующиеобщиеположенияобобработке |
о защите данных, в частности, информировать |
|
персональныхданныхиоконфиденциальности: |
пользователей о том, какие личные данные |
|
а) приложения должны предусматривать |
подлежат обработке, предоставлять уведом- |
|
политикуконфиденциальности,объясняющую, |
ление о конфиденциальности и обеспечивать |
|
ка́кпользователимогутосуществлятьсвоипра- |
надлежащую защиту данных. Кроме того, при- |
|
ва на сохранение, удаление и отзы́в согласия; |
ложения могут использовать персональные |
|
б) сбор данных должен основываться на |
данные только в тех целях, на которые дал со- |
|
согласиипользователя,пользователямдолжна |
гласие пользователь. |
|
бытьпредоставленадоступнаяипонятнаявоз- |
Программная политика для разработчиков |
|
можность отозвать согласие; |
содержит дополнительные рекомендации по |
|
в) приложения должны свести к минимуму |
обработке персональных данных о состоянии |
|
сбор данных;приобменеданнымистретьими |
здоровья. Так, строго запрещены приложе- |
|
лицами необходимо согласие пользователя; |
ния, предназначенные для злоупотребления |
|
г) приложения не должны пытаться создать |
или неправомерного использования персо- |
|
профиль пользователя на основе собранных |
нальных данных. Кроме того, функциониро- |
|
данных; |
вание приложения должны быть прозрачным |
|
д) разработчики приложений должны учи- |
в отношении сбора, использования и обмена |
|
тывать конфиденциальность данных пользо- |
персональными данными. Что касается конфи- |
|
вателя и соблюдать соответствующее законо- |
денциальных персональных данных, которые |
|
дательство о конфиденциальности. |
включаюттакжеданныеосостоянииздоровья, |
|
|
в политике указано, что сбор и использование |
16Apple App Store, AppStoreReviewGuidelines (2019)//URL:https://developer.apple.com/app-store/review/ guidelines/ (дата обращения: 04.06.2023).
17Google Play, Google Play Developer Distribution Agreement (Nov. 5, 2019).
|
LEX RUSSICA |
|
Том 76 № 11 2023 |
125 |
|
|
|
|
LEX RUSSICA
Международное право JUS GENTIUM
|
должны быть ограничены целями, непосред- |
ты данных о здоровье пользователей приложе- |
|
|
ственно связанными с функциональностью |
ний mHealth, на практике ему не хватает долж- |
|
|
приложения. При этом политика конфиденци- |
нойэффективности.Инструментысаморегулиро- |
|
|
альности должна быть опубликована в самом |
вания, используемые магазинами приложений, |
|
|
приложении. Раскрытие информации в при- |
могут заполнить пробел в регуляторике и тем |
|
|
ложении должно содержать запрос согласия |
самымспособствоватьповышениюуровнязащи- |
|
|
пользователядообработкиданных,требующий |
тыданныхосостоянииздоровьявЕС.Данныйте- |
|
|
подтверждениядействийпользователя.В таких |
зисподтверждаетмысльотом,чтоЕвропейский |
|
|
запросах на разрешение должны быть четко |
Союзвсёактивнеевовлекаетсяврегулирование |
|
|
указаныцелиобработкиилипередачиданных. |
примененияцифровыхтехнологийисвязанныхс |
|
|
Крометого,подчеркивается,чтоперсональные |
нимирисковнарушенияосновополагающихправ |
|
|
данныемогутиспользоватьсятольковцелях,на |
человека.Союзвсвоейдеятельностипродвигает |
|
|
которые дал согласие пользователь. |
иподдерживаетструктурысаморегулированияв |
|
|
Анализуказанныхкейсовпозволяетсделать |
дополнениекрелевантнымнормативнымактам, |
|
|
вывод о том, что магазины приложений дейст- |
принимаемымнауровнеЕС. |
|
|
вительно обеспокоены вопросами обеспече- |
|
Несмотря на важную роль магазинов при- |
|
ния конфиденциальности. Тем не менее такая |
ложений в достижении этой цели, ответствен- |
|
|
обеспокоенностьнегарантируетболеевысокий |
ность за обеспечение защиты конфиденциаль- |
|
|
уровень защиты персональных данных поль- |
ности данных о здоровье пользователей лежит |
|
|
зователей приложений mHealth. В документах |
на разработчиках и поставщиках приложений |
|
|
обоих магазинов приложений отмечается, что |
mHealth, которые обрабатывают медицинские |
|
|
приложения должны соответствовать законо- |
данные. Приложения mHealth должны предо- |
|
|
дательству о конфиденциальности и интегри- |
ставлять пользователям адекватные средства |
|
|
ровать политику конфиденциальности. Вме- |
для реализации прав на защиту конфиденци- |
|
|
сте с тем уровень детализации положений о |
альности, предусматривая конкретные эффек- |
|
|
конфиденциальности соответствующих мага- |
тивныевозможностиконтролянадрешениями, |
|
|
зинов приложений значительно различается. |
касающимися обработки данных о состоянии |
|
|
В то время как документация Apple App Store |
здоровья.Вэтойсвязирешающеезначениепри- |
|
|
ретранслируетбольшинствопринциповзащиты |
обретает фактическое применение стандартов |
|
|
данных и прав субъектов данных, отраженных |
саморегулирования. В то время как саморегу- |
|
|
в Регламенте 2016/679 (GDPR), правила конфи- |
лирование со стороны магазина приложений |
|
|
денциальности Google Play сформулированы |
может направить разработчиков приложений |
|
|
несколько расплывчато и не упоминают права |
длямобильногоздравоохранениявправильном |
|
|
субъектов данных. Таким образом, документы |
направлении путем преобразования положе- |
|
|
Google Play не предлагают разработчикам при- |
ний Регламента 2016/679 (GDPR) в технические |
|
|
ложений необходимые рекомендации о том, |
требования предварительного утверждения, |
|
|
как защитить личные данные, особенно в от- |
соблюдению соответствующих положений о |
|
|
ношенииправсубъектовданных.Этовлечетза |
конфиденциальностиспособствуетповышенная |
|
|
собой большой риск того, что права пользова- |
осведомленность как пользователей приложе- |
|
|
телей просто попадут в политику конфиденци- |
ний, разработчиков, так и брокеров медицин- |
|
|
альности приложения мелким шрифтом и не |
скихданныхорискахдлясоблюденияосновных |
|
|
приведут к эффективной защите конфиденци- |
правчеловекасостороныприложениймобиль- |
|
|
альности персональных данных. |
ного здравоохранения. Европейский Союз смог |
|
|
|
бы сыграть центральную роль в достижении |
|
|
Заключение |
этой цели, чтобы помочь пользователям при- |
|
|
ложений mHealth достичь желаемого расшире- |
||
|
|
ниявозможностей,отразивнормыипринципы |
|
|
Как это ни парадоксально, желание людей рас- |
Регламента 2016/679 (GDPR) в конкретных при- |
|
|
ширитьсвоивозможностиспомощьюприложе- |
ложениях мобильного здравоохранения. Про- |
|
|
ний мобильного здравоохранения приводит к |
анализированный опыт Европейского Союза в |
|
|
тому,чтопользователитеряютвозможностькон- |
рассматриваемой области может оказаться по- |
|
|
тролировать обработку данных о собственном |
лезнымвчастиразвитиясоответствующегорегу- |
|
|
здоровье.ХотятеоретическиРегламент2016/679 |
лирования на уровне Российской Федерации и |
|
|
(GDPR)предлагаетнадежноерешениедлязащи- |
интеграционных объединений с ее участием. |
|
|
|
|
|
126 |
|
|
Том 76 № 11 2023 |
|
|
|
|
Некотенева М. В., Пономарёва Д. В.
Развитие правового регулирования применения мобильных медицинских технологий (mHealth)…
СПИСОК ЛИТЕРАТУРЫ
Cecere G. et al. Economics of Free Mobile Applications: Personal Data as a Monetization Strategy. 2018. Grundy Q. etal.DataSharingPracticesofMedicinesRelatedAppsandtheMobileEcosystem:Traffic,Content,
and Network Analysis // BMJ. 2019. 364. l920.
Gupta A. K., Lad L. J. Industry Self-Regulation: An Economic, Organizational, and Political Analysis // AMR. 1983. 8. P. 416–425.
Lucivero F., Jongsma K. R. A Mobile Revolution for Healthcare? Setting the Agenda for Bioethics // J. Med. Ethics. 2018. 44. P. 685–689.
Ostherr K. et al. Trust and Privacy in the Context of User-Generated Health Data // Big data & Soc’y. 2017. 4. Papageorgiou A. et al. Security and Privacy Analysis of Mobile Health Applications: The Alarming State of
Practice/ PP IEEE Access 1–1 (2018).
Spiller K. et al. Data Privacy: Users’ Thoughts on Quantified Self Personal Data // Self-Tracking: Empirical and Philosophical Investigations / Btihaj Ajana ed. 2018. P. 111–124.
REFERENCES
Cecere G, et al. Economics of Free Mobile Applications: Personal Data as a Monetization Strategy. 2018. GrundyQ,etal.DataSharingPracticesofMedicinesRelatedAppsandtheMobileEcosystem:Traffic,Content,
and Network Analysis. BMJ. 2019;364:l920.
Gupta AK, Lad LJ. Industry Self-Regulation: An Economic, Organizational, and Political Analysis. AMR. 1983;8:416-425.
LuciveroF,JongsmaKR.AMobileRevolutionforHealthcare?SettingtheAgendaforBioethics.J. Med. Ethics. 2018;44:685-689.
Ostherr K, et al., Trust and Privacy in the Context of User-Generated Health Data. Big data & Soc’y. 2017;4. Papageorgiou A, et al., Security and Privacy Analysis of Mobile Health Applications: The Alarming State of
Practice. PP IEEE Access 1 1 (2018).
Spiller K, et al. Data Privacy: Users’ Thoughts on Quantified Self Personal Data. In: Btihaj Ajana, editor. SelfTracking: Empirical and Philosophical Investigations. 2018. Pp. 111–124.
ИНФОРМАЦИЯ ОБ АВТОРАХ
Некотенева Мария Владимировна, кандидат юридических наук, доцент кафедры интеграционного и европейского права Московского государственного юридического университета имени О.Е. Кутафина (МГЮА)
д. 9, Садовая-Кудринская ул., г. Москва 125993, Российская Федерация mvnekoteneva@msal.ru
Пономарёва Дарья Владимировна, кандидат юридических наук, доцент кафедры практической юриспруденции Московского государственного юридического университета имени О.Е. Кутафина (МГЮА) д. 9, Садовая-Кудринская ул., г. Москва 125993, Российская Федерация
dvponomareva@msal.ru
|
LEX RUSSICA |
|
Том 76 № 11 2023 |
127 |
|
|
|
|
LEX RUSSICA
Международное право JUS GENTIUM
INFORMATION ABOUT THE AUTHORS
Maria V. Nekoteneva, Cand. Sci. (Law), Associate Professor, Department of Integration and European Law, Kutafin Moscow State Law University (MSAL)
9, Sadovaya-Kudrinskaya St., Moscow 125993, Russian Federation mvnekoteneva@msal.ru
Darya V. Ponomareva, Cand. Sci. (Law), Associate Professor, Department of Practical Law, Kutafin Moscow State Law University (MSAL)
9, Sadovaya-Kudrinskaya St., Moscow 125993, Russian Federation dvponomareva@msal.ru
Материал поступил в редакцию 21 июля 2023 г. Статья получена после рецензирования 23 июля 2023 г. Принята к печати 17 октября 2023 г.
Received 21.07.2023.
Revised 23.07.2023.
Accepted 17.10.2023.
128 |
|
Том 76 № 11 2023 |
|
|
|