Этапы и тенденции нормативно-правового регулирования оборота персональных данных в Российской Федерации
(Кучеренко А. В.) («Информационное право», 2009, N 4)
ЭТАПЫ И ТЕНДЕНЦИИ НОРМАТИВНО-ПРАВОВОГО РЕГУЛИРОВАНИЯ ОБОРОТА ПЕРСОНАЛЬНЫХ ДАННЫХ В РОССИЙСКОЙ ФЕДЕРАЦИИ
А. В. КУЧЕРЕНКО
Кучеренко А. В., ассистент кафедры гражданского права юридического факультета Амурского государственного университета.
В настоящей статье приведен краткий анализ этапов формирования правовых норм российского информационного законодательства, устанавливающих принципы оборота персональных данных, а также гарантии прав их субъектов; рассмотрена сфера действия Федерального закона «О персональных данных»; обозначены тенденции развития нормотворчества в сфере оборота персональных данных.
Современная концепция прав и свобод человека и гражданина, частью которой является право на неприкосновенность частной жизни в целом и персональных данных в частности, явилась следствием длительного исторического развития не только правовых норм, но и правопонимания в целом. Влияние на этот процесс оказало активное становление так называемого информационного общества, которое характеризуется прежде всего высоким уровнем развития информационных и телекоммуникационных технологий и их интенсивным использованием гражданами, бизнесом и органами государственной власти <1>. Последнее сегодня дает возможность получать доступ и использовать различные банки данных (в том числе персональных) практически любым субъектам информационных отношений, что не может не сказаться на степени их защищенности и делает задачу обеспечения необходимой правовой защиты персональной информации особо актуальной и значимой. ——————————— <1> См.: Стратегия развития информационного общества в Российской Федерации от 7 февраля 2008 г. N Пр-212 // Российская газета. 2008. 16 февраля. N 34.
Одной из основных тенденций развития правопонимания в этом отношении является переход от защиты права на частную жизнь к защите права на информационное самоопределение (информационную автономию). Такой подход к режиму персональных данных, как представляется, связан с двумя факторами. Во-первых, категория «персональные данные» в значительной степени носит субъективный характер, и физическое лицо вправе самостоятельно относить к их числу те или иные сведения; это подтверждается открытостью перечня персональных данных, установленного Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (далее — ФЗ «О персональных данных») <2>, который определил их как любую информацию, относящуюся к определенному или определяемому на основании такой информации физическому лицу, в том числе его фамилию, имя, отчество, год, месяц, дату и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессию, доходы и другую информацию. Во-вторых, основное назначение института персональных данных состоит в идентификации с их помощью конкретного физического лица. То есть сам субъект на основании собственных представлений о необходимости введения ограниченного доступа по отношению к той или иной информации вправе установить соответствующий режим, предполагающий защиту со стороны государства. ——————————— <2> Российская газета. 2006. 29 июля. N 165.
В Российской Федерации процесс включения в правовую систему института персональных данных начался существенно позже, чем в ряде развитых стран, где формирование профильного законодательства происходило в 70-е годы XX в., и основывался в значительной степени на европейском опыте. Первыми нормами российского права в этом отношении стали положения Декларации прав и свобод человека и гражданина от 22 ноября 1991 г. <3>, гарантировавшей каждому право на неприкосновенность частной жизни, на тайну переписки, телефонных переговоров, телеграфных и иных сообщений. Кроме того, ст. 9 указанного документа предусматривала запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия, за исключением случаев, указанных в законе. ——————————— <3> Ведомости СНД РСФСР и ВС РСФСР. 1991. N 52. С. 1865.
Затем Конституция Российской Федерации 1993 г. закрепила за каждым человеком право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени (ст. 23); установила запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия (ст. 24); гарантировала право каждого на свободу указания своей национальной принадлежности (ст. 26). Впервые термин «персональные данные» появился в российском законодательстве в ст. 11 Федерального закона от 20 февраля 1995 г. N 24-ФЗ «Об информации, информатизации и защите информации» (утратил юридическую силу с 26 января 2007 г.) и был определен как сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность. Затем 6 марта 1997 г. Президентом Российской Федерации был подписан Указ N 188 «Об утверждении Перечня сведений конфиденциального характера» <4>, которым сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), были признаны не подлежащими свободному распространению. ——————————— <4> Российская газета. 1997. 14 марта. N 51.
Следуя тенденциям развития права, государственных и политических реалий, в 1999 г. Межпарламентской Ассамблеей государств — участников СНГ был принят Модельный закон «О персональных данных» <5>, который лишь отчасти является прототипом действующего Закона. ——————————— <5> Информационный бюллетень Межпарламентской Ассамблеи государств — участников СНГ. 2000. N 23. С. 315 — 326.
В 2001 г. Российской Федерацией был подписан один из основополагающих актов международного уровня, регламентирующих правоотношения с таким объектом, как персональные данные, — Конвенция Совета Европы от 28 января 1981 г. «О защите физических лиц при автоматизированной обработке персональных данных» (далее — Конвенция). Однако Российской Федерацией она была ратифицирована лишь 19 декабря 2005 г. <6>, что мотивировалось необходимостью внесения изменений во внутреннее законодательство страны. ——————————— <6> Федеральный закон от 19 декабря 2005 г. N 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» // Российская газета. 2005. 22 декабря. N 188.
В конце сентября 2003 г., т. е. спустя четыре года после принятия Модельного закона и два года после подписания Конвенции, Правительством РФ в Государственную Думу был внесен проект ФЗ «О персональных данных». Так начался процесс по воплощению в жизнь соответствующих норм международного права и регламентации оборота персональных данных как объекта правовой охраны в РФ. Безусловно, отдельные шаги в этом направлении делались и раньше, однако комплексное и полноценное регулирование данного вопроса стало возможным только посредством принятия специального федерального закона, что должно было привести наряду с иными результатами к «постепенному формированию правовой культуры защиты персональных данных» <7>. ——————————— <7> Цадыкова Э. А. Гарантии охраны и защиты персональных данных человека и гражданина // Конституционное и муниципальное право. 2007. N 14. С. 17.
В состав российского законодательства в области оборота персональных данных помимо ФЗ «О персональных данных» входят также другие федеральные законы, определяющие случаи и особенности обработки персональных данных. Кроме того, на основании и во исполнение федеральных законов государственные органы в пределах своих полномочий могут принимать нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных. Формирование правовой платформы института персональных данных в России в настоящее время, как представляется, осуществляется по трем основным направлениям. Во-первых, активно идет процесс создания специализированных правовых актов различной юридической силы, к числу которых следует отнести: ФЗ «О персональных данных», Федеральный закон от 3 декабря 2008 г. N 242-ФЗ «О государственной геномной регистрации в Российской Федерации» <8>, Постановление Правительства РФ от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» <9> и другие. ——————————— <8> Собрание законодательства РФ. 2008. N 49. С. 5740. <9> Российская газета. 2007. 21 ноября. N 260.
Во-вторых, в настоящее время значительно возросли темпы нормотворчества государственных органов исполнительной власти в данной сфере; так, практически каждым федеральным министерством и ведомством были изданы акты, регулирующие обработку персональных данных служащих указанных органов или их оборот в целом. К числу таких актов следует отнести: Приказ ФСТЭК России N 55, ФСБ России N 86, Мининформсвязи РФ N 20 от 13 февраля 2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных» <10>; Приказ ФФОМС от 19 августа 2008 г. N 180 «Об утверждении Положения о защите персональных данных работников Федерального фонда обязательного медицинского страхования» <11> и пр. ——————————— <10> Российская газета. 2008. 12 апреля. N 80. <11> Российская газета. 2008. 17 сентября. N 195.
В-третьих, институт персональных данных значительно укрепляется нормами непрофильного законодательства, к которому относятся: Федеральный закон от 1 апреля 1996 г. N 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» <12>, Федеральный закон от 15 ноября 1997 г. N 143-ФЗ «Об актах гражданского состояния» <13>, Трудовой кодекс Российской Федерации от 30 декабря 2001 г. N 197-ФЗ <14> и другие. ——————————— <12> Российская газета. 1996. 10 апреля. N 68. <13> Российская газета. 1997. 20 ноября. N 224. <14> Российская газета. 2001. 31 декабря. N 256.
Традиционный для российского права приоритет норм международного уровня подтверждается ч. 4 ст. 4 ФЗ «О персональных данных», устанавливающей правило, согласно которому в случае установления международным договором Российской Федерации иных правил, чем те, которые предусмотрены указанным Законом, применяются правила международного договора. ФЗ «О персональных данных» регулирует отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации. Конвенция не позволяла делать никаких оговорок при ее ратификации (ст. 25), однако допускала заявления об отдельных изъятиях в сфере ее применения. Российская Федерация воспользовалась этим положением, заявив, что не будет применять Конвенцию к персональным данным, обрабатываемым физическими лицами исключительно для личных и семейных нужд, а также к данным, отнесенным к государственной тайне. Несмотря на то что основным объектом регулирования Конвенции являются персональные данные, обрабатываемые автоматизированно, Россия в Законе о ее ратификации прямо указала на то, что она будет применять Конвенцию к персональным данным, которые не подвергаются автоматизированной обработке, если ее применение соответствует характеру действий, совершаемых с персональными данными без использования средств автоматизации. Так, особенности обработки персональных данных, осуществляемой в неавтоматизированном порядке, установлены Постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» <15>. В соответствии с указанным актом обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение, осуществляются при непосредственном участии человека. ——————————— <15> Собрание законодательства РФ. 2008. N 38. С. 4320.
Следует также учитывать, что ФЗ «О персональных данных» указал виды отношений, на которые, помимо названных в Законе о ратификации Конвенции, не распространяются его нормы (ч. 2 ст. 1). В частности, в их число входят отношения, возникающие при организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с российским законодательством об архивном деле, а также отношения, возникающие при обработке подлежащих включению в Единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в связи с деятельностью физического лица в качестве индивидуального предпринимателя. Последнее изъятие не лишает лицо, имеющее статус индивидуального предпринимателя, возможности защищать свои персональные данные, однако предусматривает для них иной режим, установленный нормами Федерального закона от 8 августа 2001 г. N 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей» <16> и Постановления Правительства РФ от 16 октября 2003 г. N 630 «О Едином государственном реестре индивидуальных предпринимателей, правилах хранения в Единых государственных реестрах юридических лиц и индивидуальных предпринимателей документов (сведений) и передачи их на постоянное хранение в государственные архивы, а также о внесении изменений и дополнений в Постановления Правительства Российской Федерации от 19 июня 2002 г. N 438 и N 439» <17>. ——————————— <16> Российская газета. 2001. 10 августа. N 153 — 154. <17> Российская газета. 2003. 5 ноября. N 224.
Включение изъятий из сферы действия закона в его текст не предполагалось законодателем изначально, о чем свидетельствует оговорка, содержащаяся в пояснительной записке к проекту ФЗ «О персональных данных», о том, что целью законопроекта является создание общих унифицированных требований к сбору и обработке персональных данных физических лиц во всех сферах, где используются персональные данные. Основу ФЗ «О персональных данных» составляют базовые правила, принципы и условия обработки персональных данных. Так, в Законе определены критерии законности действий, связанных с обработкой персональных данных, а также пределы ограничения прав субъектов персональных данных в связи с обеспечением общественных интересов, безопасности государства и общества. Такой подход законодателя к содержанию базового закона, регулирующего оборот персональных данных, связан, как представляется, с необходимостью придать его нормам универсальный характер. Универсальность в данном случае предполагает несколько аспектов: — во-первых, возможность закона служить основой для формирования иных, в том числе подзаконных, нормативных правовых актов, регулирующих рассматриваемые правоотношения; — во-вторых, мобильность закона, предполагающая его применение к регулируемым отношениям на любой стадии, независимо от уровня развития техники; — в-третьих, гибкость норм закона, позволяющая применять их к информационным правоотношениям различного толка, например в сфере экономики, управления, массовой информации и пр.; — в-четвертых, закон должен содержать единый алгоритм разрешения конфликтных ситуаций, связанных с оборотом персональных данных, независимо от сферы возникновения. Значительно хуже в Законе разработаны и представлены исходные общетеоретические положения о содержании категории «персональные данные», а также механизмы их соотношения с иными видами информации ограниченного доступа. Так, одним из основных недостатков ФЗ «О персональных данных» является то, что он не называет четких критериев отнесения тех или иных сведений к числу персональных данных, вследствие чего зачастую одни и те же данные могут быть отнесены к различным видам информации ограниченного доступа. Например, в режиме коммерческой тайны могут охраняться персональные данные контрагентов; в режиме профессиональной тайны охраняется информация персонального характера, характеризующая пользователей предоставляемых услуг (врачебная, нотариальная, адвокатская, банковская тайны и т. п.). При этом режимы отдельных видов информации ограниченного доступа предполагают отличные друг от друга сроки сохранения конфиденциальности соответствующей информации, дополнительные гарантии прав субъекта, а также виды ответственности за их нарушение, что не может не отразиться на правоприменительной практике. Возможность составления закрытых перечней данных, относимых исключительно к тому или иному виду информации ограниченного доступа, является достаточно спорной. Однако минимизация разницы между степенью уязвимости прав субъекта соответствующих сведений, безусловно, остается необходимой. По нашему мнению, указанная проблема может быть решена путем реализации субъектом соответствующей информации своего права на установление режима, предусмотренного ФЗ «О персональных данных», в соответствии с которым будет установлен ограниченный доступ к ней со стороны третьих лиц, а также наложен ряд обязанностей на оператора, производящего ее обработку. Так, установление режима коммерческой тайны в отношении какой-либо информации (например, данных авторов изобретений, используемых предпринимателем для извлечения прибыли и, соответственно, представляющих для него коммерческую ценность) не исключает возможность получения правообладателем письменного разрешения указанных субъектов на обработку их персональных данных. Более того, в случае неправомерных действий в отношении персональных данных со стороны оператора (правообладателя — в данном случае) они могут быть обжалованы субъектом в уполномоченный орган по защите прав субъектов персональных данных или в суд без нарушения установленного режима коммерческой тайны. Это возможно в силу ст. 6 Федерального закона от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне» <18>, предусматривающей обязанность правообладателя предоставлять соответствующую информацию органам государственной власти, иным государственным органам, а также органам местного самоуправления по их мотивированному требованию. ——————————— <18> Российская газета. 2004. 5 августа. N 166.
Остается открытым и вопрос относительно статуса изображения гражданина — правомерно ли относить его к персональной информации, ведь именно изображение служит зачастую одним из основных идентификаторов личности. Так, например, по изображению человека можно получить информацию о его биометрических данных, национальности, религиозной принадлежности и пр. В настоящее время статус изображения человека как объекта правовой охраны определяется в гражданско-правовом порядке (ст. 152.1 Гражданского кодекса РФ <19>) и существенно отличается от установленного ФЗ «О персональных данных». Представляется, оптимальным в данном случае было бы обращение к положениям Директивы 95/46/ЕС Европейского парламента и Совета Европейского союза от 24 октября 1995 г. «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных», рассматривающей видеоданные как персональные данные. ——————————— <19> Российская газета. 1994. 8 декабря. N 238 — 239.
Приводя многочисленные факты нелегальной реализации баз персональных данных в качестве одного из основных аргументов необходимости принятия ФЗ «О персональных данных», законодатель не включил в него ни одной нормы, прямо устанавливающей какие-либо критерии их оборотоспособности. Более того, в силу п. 9 ст. 3 Закона персональные данные граждан, хранящиеся в информационной системе, являются ее составной частью и, следовательно, могут быть использованы владельцем системы (оператором) по своему усмотрению. Исключение из гражданского оборота баз персональных данных представляется нам необоснованной мерой, которая нарушила бы права их составителей и значительно сузила бы возможности развития информационного рынка. Однако в данном случае, по нашему мнению, соответствующие базы данных следует рассматривать как вид общедоступных источников персональных данных, формирование которых требует получения составителем базы письменного согласия каждого субъекта данных на их обработку. Таким образом, Федеральный закон «О персональных данных» как базовый нормативный акт, регламентирующий оборот информации персонального характера, несмотря на значительный срок действия, так и не смог решить множества поставленных перед ним задач. В настоящее время процесс формирования нормативной базы, определяющей режим персональных данных, находится на активной стадии. Последнее представляется особенно важным ввиду того, что именно развитие законодательных механизмов является основным направлением в области совершенствования системы государственных гарантий конституционных прав и свобод человека и гражданина в информационной сфере.
——————————————————————