Современное развитие цифровой среды усилило актуальность вопросов, связанных с правовым режимом данных, возникающих при повседневном использовании цифровых технологий. Каждый пользователь ежедневно оставляет сотни цифровых следов — подсказок, которыми они являются по своей сути. Когда человек пользуется мобильным телефоном, выполняет поиск в Интернете или покупает что-либо с помощью банковской карты, он оставляет цифровой след. Такой след тянется за пользователем бесконечно: он воспользовался геолокационными сервисами на своем мобильном телефоне, прочитал новостные статьи в Интернете, просмотрел социальные сети, отправил и получил электронные письма, сделал покупки и выполнил еще множество незаметных и привычных для любого человека вещей. Участвовать в современной жизни — значит невольно оставлять за собой миллионы цифровых следов и точек данных. В это же время специалисты в области финансов, политики, страхования, спорта, медицины, маркетинга, права используют эти огромные массивы цифровых данных. Отслеживание цифровых следов повседневной жизни в настоящее время является рутинным, хотя и непоследовательным элементом современной правоохранительной деятельности, поскольку научный прогресс и постоянное развитие общества обеспечили беспрецедентные возможности для наблюдения. В той или иной степени все мы являемся объектами цифровой слежки, которая не всегда безопасна и конфиденциальна [1].

Например, в 2024 году Роскомнадзор зафиксировал 135 случаев утечек баз данных, в которых оказалось более 710 млн записей о россиянах. Крупнейший инцидент пришёлся на одну утечку в феврале — тогда, по словам заместителя главы РКН, «в сеть попало примерно 500 млн строк данных». В результате утечек в открытом доступе оказываются имена, даты рождения, телефоны, электронные почты, адреса, паспортные данные, детали заказов, hash-пароли россиян и другая информация [2].

В то же время коммерческие и государственные структуры продолжают наращивать сбор и анализ поведенческих и технических данных. Банки создают скоринговые модели, основанные на параметрах цифровой активности клиентов; маркетинговые компании конструируют детальные профили поведения пользователей; платформы доставки, телемедицины, мобильного банкинга и социальных сетей собирают логи, геоданные, информацию о взаимодействиях в режиме реального времени. Эта аналитика позволяет не только адаптировать сервисы, но и предсказывать поведение, выстраивать алгоритмы рекомендаций, оценивать риски и принимать решения, влияющие на жизнь людей.

При этом правовая база часто отстаёт от практики. Действующее российское регулирование не всегда даёт чёткий и структурированный статус тем данным, которые образуют цифровые следы. Персональные данные, как правовая категория, покрывают лишь часть этого массива: не всё автоматически считается персональными данными, а те данные, которые пока не признаны таковыми, могут использоваться в алгоритмических моделях без достаточного контроля и прозрачности. В результате цифровые следы остаются в правовой «серой зоне»: они динамичны, контекстно зависимы, многослойны, и одновременно — фундаментальны для цифровой экономики и алгоритмического управления.

Без надлежащего контроля цифровых следов возможны манипуляции скоринговыми системами, утечки и несанкционированный обмен данными, а также потеря доверия пользователей к цифровым платформам. Именно поэтому важно обратить внимание на природу цифровых следов, законодательно определить их правовой статус и выстроить механизм защищённой обработки, при котором цифровая среда остаётся эффективной и инновационной, но при этом не нарушает основные права человека.

Понятие «цифровой след» сравнительно ново для отечественного и международного информационного права, однако уже стало ключевой категорией, определяющей характер правовых отношений в цифровой среде. В отличие от криминалистического подхода, где цифровой след традиционно рассматривается как элемент доказательственной базы, информационно-правовое понимание смещает акцент на правовой режим данных, возникающих в ходе использования информационно-телекоммуникационных систем, и на правовой статус субъекта, генерирующего эти следы.

В современной доктрине цифровой след трактуется как совокупность данных, которые порождаются субъектом при взаимодействии с цифровой средой — как сознательно (активные действия), так и автоматически, в силу функционирования систем (пассивные данные). Эти данные могут включать в себя как элементы, позволяющие идентифицировать конкретное лицо, так и сведения, которые изначально не являются персональными, но приобретают идентифицирующий характер при сочетании с другими массивами информации. Тем не менее, единого мнения правоведов, а также легального определения понятия «цифровой след» в доктрине нет.

Так, например, А. Н. Мочалов определяет цифровые следы как правовую категорию, отражающую информацию о действиях человека, фиксируемую в цифровой среде, которая может касаться аспектов частной жизни. Он подчёркивает, что цифровой след, «презюмируя наличие в каждом из них сведений о частной жизни конкретного индивида», требует правовой защиты неприкосновенности личности [3, с. 175].

А. Н. Колычева предлагает такое определение «электронно-цифрового следа: «Криминалистически значимая информация, выраженная посредством электромагнитных взаимодействий или сигналов … в форме, пригодной для обработки с использованием компьютерной техники, … зафиксированная на материальном носителе …» [4, с. 10].

С точки зрения информационного права цифровой след следует рассматривать не только как «остаток» пользовательской активности, но как динамичную информационную конструкцию, обладающую правовым значением в силу включённости в процессы обработки данных, влияния на алгоритмическое принятие решений, способности формировать цифровой профиль субъекта, а также использования в государственном и частном информационном управлении. В зарубежной доктрине эти данные нередко классифицируются как inferred data — сведения, которые не собираются у пользователя напрямую, а выводятся алгоритмически на основе первичных цифровых следов [5].

Учитывая специфику информационно-правовых отношений, предлагается использовать следующее определение цифровых следов, включающее в себя описанные выше аспекты: «Цифровой след — это совокупность структурированных или неструктурированных данных, прямо или косвенно генерируемых субъектом в процессе использования информационных технологий, обладающих потенциальной или актуальной идентифицируемостью и влияющих на информационно-правовой статус субъекта в цифровой среде».

В информационно-правовом анализе цифровые следы необходимо классифицировать по нескольким параметрам, влияющим на их правовой режим.

1. По источнику возникновения цифровые следы делят на активные и пассивные.

Активные цифровые следы — данные, которые пользователь генерирует сознательно: публикации, загрузки файлов, сообщения, изменение настроек, выполнение транзакций и переводов.

Пассивные цифровые следы — данные, которые формируются автоматически: метаданные сессий (IP, время доступа), cookies, лог-файлы серверов, данные локализации, биометрические параметры, считываемые системами без осознанного действия.

Представляется, что с точки зрения информационного права правовой режим пассивных следов требует особого регулирования, поскольку субъект не осознаёт факт их образования и не даёт осознанного согласия.

2. По характеру информационной структуры выделяют первичные и вторичные следы.

Первичные цифровые следы — данные, непосредственно фиксирующие взаимодействие субъекта с системой (например, лог входа).

Вторичные цифровые следы — производные данные, которые возникают в результате анализа и алгоритмической обработки информационными системами первичного поведения пользователей. Здесь особенно проявляется проблема: кто является их правовым владельцем и может ли субъект требовать их удаления или исправления?

Следует отметить, что в доктрине встречаются и другие критерии классификации цифровых следов: по степени осознанности их оставления, по характеру фиксируемой информации, по функциональному назначению, по субъекту их обработки, по уровню структурированности и даже по техническому способу получения. Однако эти подходы ориентированы преимущественно на криминалистику и цифровую экспертизу, что выходит за рамки информационно-правового анализа.

Итак, складывается основной вопрос касательно цифровых следов: они — часть персональных данных или всё-таки качественно новый, особенный объект правового регулирования? На первый взгляд может показаться, что ответ очевиден: если цифровые следы позволяют идентифицировать человека, значит, они подпадают под действие законодательства о персональных данных. Однако анализ российской и зарубежной правовой литературы, судебной практики, а также сопоставление подходов национального законодательства с европейским GDPR показывают, что ситуация далеко не столь однозначна.

Проанализируем критерии относимости к персональным данным и применимость таких критериев к цифровым следам.

Согласно Федеральному закону от 27.07.2006 N 152-ФЗ «О персональных данных», персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) [6].

Схожее определение даёт, например, и GDPR (General Data Protection Regulation) — общий регламент по защите данных, принятый Европейским союзом в 2018 году. Согласно ст. 4 этого закона, персональные данные означают любую информацию, относящуюся к идентифицированному или поддающемуся идентификации физическому лицу (субъект данных); идентифицируемое физическое лицо — это лицо, которое может быть идентифицировано прямо или косвенно, в частности, путем ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или к одному или нескольким факторам, специфичным для физической, физиологической, генетической, ментальной, экономической, культурной или социальной идентичности этого физического лица [7].

GDPR фактически расширяет границы понятия персональных данных, включая в него практически любой цифровой идентификатор — от cookie-файлов до поведенческих характеристик. Европейский подход демонстрирует, что регулятор исходит не из формы данных, а из их функциональной способности «привязать» цифровую информацию к конкретному человеку. В этом смысле цифровые следы в правопорядке ЕС практически всегда считаются разновидностью персональных данных.

При этом GDPR не только признает цифровые следы видом персональных данных, но и выстраивает вокруг них режим специальных гарантий, связанных с профилированием, автоматизированными решениями и обработкой больших массивов технической информации.

Так, в российском праве ключевым критерием признания информации персональными данными является идентифицируемость: данные относятся к персональным, если по ним можно определить конкретного человека либо они связаны с определяемым лицом. Эта логика сопоставима с международным регулированием, где также подчеркивается возможность прямой или косвенной идентификации субъекта через цифровые идентификаторы, технические параметры или характеристики поведения.

Однако, несмотря на формальное совпадение отдельных категорий, расширительное применение понятия «персональные данные» к цифровым следам, в отличие от европейского опыта, в российской правовой системе сталкивается с рядом ограничений.

Во-первых, не все цифровые следы создаются пользователем сознательно. Закон о персональных данных исходно построен на модели взаимодействия субъекта и оператора, предполагающей волевую передачу данных. Большая же часть цифровых следов формируется автоматически и без намерения пользователя.

Во-вторых, персональные данные представляют человека как набор статических характеристик (ФИО, адрес, дата рождения), тогда как цифровые следы описывают динамическое поведение субъекта в цифровой среде (его действия в интернет-пространстве, поисковые запросы, транзакции).

Сложность также заключается в том, что цифровые следы многообразны, и как раз это многообразие обусловливает различие в их правовом регулировании. Цифровые следы могут содержать персональные данные пользователя и попадать под действие Федерального закона «О персональных данных» (например, анкетная информация в профиле социальной сети, номер телефона в форме обратной связи, изображение лица). Некоторые следы могут не содержать персональных данных (например, запросы в поисковых сервисах или на сайтах маркет-плейсов), однако представлять собой информацию об интересах и потребностях конкретного пользователя (личность которого часто может быть определена при соотнесении с другими цифровыми следами). На некоторые цифровые следы может распространяться тайна переписки или тайна связи (например, сообщения в мессенджерах или в сервисах электронной почты), другие же цифровые следы представляют собой общедоступную информацию. Ряд цифровых следов может содержать в себе иную охраняемую законом тайну — врачебную, банковскую или налоговую. Цифровые следы могут быть результатом творческой деятельности человека (например, фотография) и попадать под действие законодательства об интеллектуальной собственности, а могут иметь характер технической информации об устройстве. Но все они объединены общим признаком: представляя собой цифровое отражение той или иной деятельности конкретного человека, они несут информацию о его частной жизни [3].

Судебная практика также демонстрирует разные подходы. В деле № А40–14902/2016 суд посчитал 1Р-адрес устройства физического лица персональными данными, отметив, что к таковым относятся «не только данные, позволяющие идентифицировать абонента, но также и сведения баз данных систем расчета за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонента, также относятся к сведениям об абонентах», а 1Р-адрес и другие идентификаторы, собираемые при помощи «куки»-файлов, позволяют определить географическое положение пользователя и отличить его интернет-трафик от трафика других пользователей. Указанный подход гармонирует с регулированием, содержащимся в параграфе 18 преамбулы GDPR: согласно ему сетевые идентификаторы «могут оставлять следы, которые, в частности, в сочетании с уникальными идентификаторами и другой полученной серверами информацией могут использоваться для создания профилей физических лиц и для их идентификации» [8].

В то же время в деле № 13АП-10709/2015 суд указал, что IP-адрес не является персональными данными, поскольку сам по себе не позволяет достоверно идентифицировать конкретного пользователя. Как и другие сведения, запрашиваемые истцом, IP-адрес не отвечает принципу точности и не может быть однозначно соотнесён с определённым физическим лицом без привлечения дополнительных данных провайдеров и иных субъектов. Следовательно, такая информация не относится к персональным данным в понимании ст. 3 и ст. 5 Закона 152-ФЗ [9].

Сопоставление российской судебной практики позволяет выделить два основных критерия, влияющих на признание цифрового следа персональными данными: (1) возможность достоверной идентификации субъекта и (2) степень автономности данных от воли лица. Если первый критерий используется судами относительно последовательно, то второй применяется фрагментарно, что и обусловливает существующие противоречия. Одни и те же категории технических данных в разных ситуациях могут как признаваться, так и не признаваться персональными данными. Действующее определение персональных данных, основанное преимущественно на критерии идентифицируемости, работает недостаточно устойчиво в условиях цифровой среды, где идентификация субъекта часто зависит не от одного параметра, а от совокупности технических и поведенческих следов.

Разработка модели правового регулирования цифровых следов требует опоры на фундаментальные положения информационного права, учитывающего специфику данных как особого нематериального объекта, а также на современные подходы к защите информации, персональных данных и цифровых следов в России.

Первый возможный вариант — расширение института персональных данных и включение цифровых следов в его сферу с установлением специальных норм, регулирующих именно «технические» и «поведенческие» фрагменты данных. Такой подход предполагает, что цифровой след рассматривается как разновидность информации, относящейся к субъекту, но не обязательно позволяющей установить его личность напрямую. В этом случае закон о персональных данных должен быть дополнен нормами, учитывающими низкую самостоятельность таких данных, их автоматическую природу, а также то, что идентификация здесь чаще вероятностная, а не прямолинейная. Однако это решение, во-первых, сделает существующую норму более громоздкой, во-вторых, повысит нагрузку как на частные, так и на государственные структуры, поскольку резко увеличит объём информации, подлежащей защите как персональные данные.

Второй вариант — введение автономного института «цифрового следа» как особого объекта информационного права. В его рамках цифровой след рассматривался бы как специфический тип информации, создаваемой без участия человека, часто непреднамеренно, и используемой для поведенческого анализа, профилирования, обеспечения информационной безопасности и функционирования цифровых платформ. Такой институт мог бы включать собственное определение цифрового следа, набор принципов обращения с ним, правила разграничения доступа, условия использования его в аналитических и правоохранительных целях, а также специальные процессуальные гарантии. Минус подхода — усложнение правовой системы и необходимость создавать новую категорию наряду с персональными данными, служебной информацией и иными видами информации.

Третий вариант — гибридная модель, основанная на законодательстве о персональных данных, но включающая дополнительные нормы, которые могли бы регулировать цифровые следы более полно. Например, создание особого подрежима, применяемого лишь в ситуациях, когда цифровой след явно расходится с концепцией персональных данных, становясь слишком автоматизированным и неперсонализированным объектом (например, системные логи). Это соответствует логике информационного права, ориентированного на функциональность и технологическую нейтральность. Такой вариант не ломает существующую систему, но позволяет дополнить и адаптировать её под цифровую экономику и трансграничные потоки данных. В то же время он также имеет свой недостаток: таких «подрежимов» и дополнительных норм всегда может не хватать. В условиях динамично развивающегося цифрового общества количество видов цифровых следов может расти практически ежедневно, и чтобы соответствовать такому темпу, необходимо постоянно «наращивать» имеющееся законодательство новыми нормами, балансируя между цифровыми следами в качестве персональных данных и в качестве совершенно нового объекта. Из этого следует, что ситуация останется точно такой же, как и в настоящее время: правовое регулирование неточно и непостоянно.

С учётом анализа российской правоприменительной практики, особенностей цифровых следов как феномена информационного пространства и информационного права наиболее обоснованным представляется введение самостоятельного, автономного института цифрового следа. Данный подход обеспечит и системность регулирования, и технологическую гибкость, и устранение внутренних противоречий, которые возникают при попытке «вписать» цифровые следы в существующие институты — прежде всего в сферу персональных данных.

Автономный институт цифрового следа отвечает ключевому свойству этого объекта: цифровой след является результатом автоматической фиксации действий субъекта или работы технической системы, он нередко возникает без волевого участия человека, не всегда имеет структурированный характер и может обладать переменной степенью связи с личностью. В отличие от персональных данных, цифровой след не предполагает изначальной идентификации субъекта и нередко характеризуется вероятностной, а не детерминированной связью с конкретным лицом. Для информационного права, в котором правовой режим должен следовать свойствам информационного объекта, это различие является фундаментальным.

Введение автономного института позволяет отказаться от искусственного расширения дефиниции «персональные данные» и устранить проблему чрезмерной регулятивной нагрузки. Если цифровые следы автоматически включать в сферу персональных данных, то фактически любое взаимодействие пользователя с цифровой средой — от динамических IP-адресов до логов функционирования приложений — будет рассматриваться в качестве персональной информации. Это не соответствует принципу соразмерности и создаёт неоправданное давление на оператора, который должен обеспечивать полноценный комплекс требований, предусмотренных законодательством о персональных данных, даже если идентификация субъекта не предполагается.

Многие ученые-правоведы приходят к мысли о необходимости методологической чистоты и структурной устойчивости. По словам С. В. Соловкина, «законодательство о персональных данных не должно иметь своей дополнительной целью регулирование отношений по обработке цифровых следов физических лиц, поскольку категории «персональные данные» и «цифровые следы» являются пересекающимися, но не взаимозаменяемыми» [10, с. 457].

Таким образом, введение автономного института цифрового следа представляет собой оптимальное решение, согласующееся с природой самого объекта, с концепцией информационного права и с международной практикой. Этот подход устраняет внутренние противоречия регулирования, предоставляет возможность формировать специальные правила обращения с цифровыми следами, обеспечивает правовую определённость для всех участников цифрового оборота и создаёт основу для эффективной защиты частной жизни в условиях растущего технологического воздействия. Такой подход снижает необходимость постоянного «переквалифицирования» цифровых следов в зависимости от контекста — как это может происходить в рамках института персональных данных — и позволяет применять единый правовой режим, адаптированный к природе следов.

Литература:

1. Sarah, Brayne. Predict and Surveil: Data, Discretion, and the Future of Policing — 198 Madison Avenue, New York, NY 10016, United States of America: Oxford University Press, 2021. — 224 c.
2. Роскомнадзор выявил утечку 710 млн записей о россиянах за 2024 год. — Текст: электронный // РБК: [сайт]. — URL: https://www.rbc.ru/rbcfreenews/67886cb19a79478176d26c9f (дата обращения: 05.11.2025).
3. Мочалов А. Н. Цифровые следы человека и неприкосновенность частной жизни. // Антиномии. — 2024. — Т. 24, вып. 4. — С. 164–189.
4. Колычева А. Н. Фиксация доказательственной информации, хранящейся на ресурсах сети Интернет: автореф. канд. юрид. наук: 12.00.12 / Колычева Алла Николаевна. — М.: — 2019. — С. 10
5. What is Inferred Data? Examples and Use Cases in Analytics. — Текст: электронный // PlainSignal: [сайт]. — URL: https://plainsignal.com/glossary/inferred-data (дата обращения: 10.11.2025).
6. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (ред. от 24.06.2025) // Собрание законодательства Российской Федерации. — 2006 — № 31 — ст. 3451.
7. GDPR — General Data Protection Regulation. Art. 4. 2018. — Текст: электронный // IntersoftConsulting: [сайт]. — URL: https://gdpr-info.eu (дата обращения: 10.11.2025).
8. Решение Арбитражного суда г. Москва от 11 марта 2016 г. по делу № А40- 14902/2016–84–126, Текст: электронный // Правовой центр: [сайт]. — URL: https://pravovoi.center (дата обращения: 17.11.2025).
9. Постановление Тринадцатого арбитражного апелляционного суда г. Санкт-Петербург от 1 июня 2015 г. по делу № 13АП-10709/15// — Текст: электронный // СПС «Консультант плюс»: [сайт]. — URL: https://www.consultant.ru/cons/cgi/online.cgi?req= doc&base=RAPS013&n=168861#0pJgiEVgAxJo33vw (дата обращения: 17.11.2025).
10. Соловкин, С. В. Цифровые следы в эпоху киберфизических систем: переосмысление понятия и новое значение для защиты данных / С. В. Соловкин. — Текст: непосредственный // Сборник научных трудов I Международной научно-практической конференции В 6 томах. Под редакцией И. Р. Бегишева [и др.]. — Казань: Познание, 2022. — С. 451–459.