О гарантиях прав субъектов при осуществлении трансграничной передачи персональных данных
(Кучеренко А. В.) («Информационное право», 2009, N 3)
О ГАРАНТИЯХ ПРАВ СУБЪЕКТОВ ПРИ ОСУЩЕСТВЛЕНИИ ТРАНСГРАНИЧНОЙ ПЕРЕДАЧИ ПЕРСОНАЛЬНЫХ ДАННЫХ
А. В. КУЧЕРЕНКО
Кучеренко А. В., ассистент кафедры гражданского права юридического факультета Амурского государственного университета.
В настоящей статье приведен краткий анализ международно-правовых норм, устанавливающих принципы осуществления трансграничной передачи персональных данных, а также их соотнесение с нормами российского законодательства; рассматриваются критерии эффективности защищенности прав субъектов персональных данных при их трансграничной передаче, установленных Федеральным законом «О персональных данных»; выявлены недостатки законодательства в этой области и предложены пути их преодоления.
Возможность трансграничной передачи персональных данных и необходимость надлежащей правовой регламентации указанного процесса обусловлены активным развитием экономического и социального направлений взаимодействия как государственных, так и негосударственных структур различных стран. Перемещение соответствующего вида информации на территорию другого государства сегодня может производиться по множеству причин, в том числе в целях исполнения международно-правовых обязательств Российской Федерации по передаче осужденных в государства их гражданства и по экстрадиции, международного усыновления, оказания медицинской помощи иностранным гражданам, заключения и реализации международных бизнес-контрактов, борьбы с международным экстремизмом, оказания туристических услуг, привлечения иностранной рабочей силы, проведения различного рода международных культурных и научных мероприятий и пр. Кроме того, не следует умалять роль глобализации информационно-коммуникационных технологий и систем, позволяющих свободно и с высокой скоростью передавать информацию личного характера, в том числе и по территориям нескольких государств, даже не перемещая ее материальный носитель в пространстве (например, посредством сети Интернет). При этом, как справедливо утверждают отдельные авторы, отмечается «взаимосвязь регулирования возможностей и условий трансграничной передачи персональных данных и правового обеспечения их защиты как двух основных элементов, характеризующих сущность института персональных данных» <1>. ——————————— <1> Бачило И. Л., Сергиенко Л. А., Кристальный Б. В., Арешев А. Г. Персональные данные в структуре информационных ресурсов. Основы правового регулирования. Мн.: Беллитфонд, 2006. С. 27.
Первоначально к вопросу правовой регламентации трансграничного перемещения информации персонального характера на международном уровне обратилась Организация по экономическому сотрудничеству и развитию (ОЭСР), приняв Основные положения о защите неприкосновенности частной жизни и международных обменах персональными данными от 23 сентября 1980 г. Нормы указанного акта носили рекомендательный характер и были призваны стать инструментом унификации соответствующего национального законодательства стран — участниц ОЭСР в части недопущения блокирования международных обменов данными. Очередным этапом правового регулирования трансграничной передачи персональных данных стало принятие 28 января 1981 г. Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (вступила в силу 1 октября 1985 г.) <2>, глава III которой посвящена этому вопросу. Кроме того, в преамбуле Конвенции содержится прямое указание на увеличение трансграничного потока персональных данных, подвергающихся автоматизированной обработке, как основание ее принятия и усиления защиты прав и основных свобод каждого человека, в частности права на уважение частной жизни. ——————————— <2> Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г. была ратифицирована Российской Федерацией в 2005 г. См.: Федеральный закон от 19 декабря 2005 г. N 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» // Российская газета. 2005. N 288.
Позднее принцип эквивалентной (адекватной) защиты персональных данных при их перемещении через государственные границы был закреплен в Директиве Европейского парламента и Совета Союза от 24 октября 1995 г. N 95/46/ЕС, установившей правило, согласно которому страны — участницы Европейского союза не будут ни ограничивать, ни запрещать свободный поток данных между ними. В то же время, как подчеркивается в Директиве, сближение национального законодательства не должно вызывать какого-либо уменьшения предоставляемой каждой страной степени защиты фундаментальных прав и свобод, в особенности права на частную жизнь, признаваемого общими принципами законодательства Сообщества, стремящегося к обеспечению высокого уровня его защиты. Евродиректива, по сути, представляет собой правовой стандарт, обязательный к применению только государствами — членами Европейского союза, однако на практике она стала и мировым стандартом, реализуемым неевропейскими странами. Последнее обусловлено не только универсальностью ее норм, но и тем, что идеи, заложенные в ней, стали результатом анализа накопленного практического опыта применения европейскими странами принципов, установленных ранее подписанными международными документами. Вступление России в 1996 г. в Совет Европы не обязывало ее приводить национальное законодательство в соответствие с его директивами, однако очевидно, что равноправным членом Европейского сообщества Россия могла стать в случае принятия «правил игры»; это не только должно было создать условия для выполнения взятых на себя Российской Федерацией международных обязательств, но и способствовать укреплению ее внешнеполитических позиций. Однако специальное правовое регулирование трансграничной передачи персональных данных появилось в российском законодательстве значительно позже, с принятием Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» <3>. Понятие трансграничной передачи персональных данных содержится в ч. 11 ст. 3 указанного Закона и предполагает передачу персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства. ——————————— <3> Российская газета. 2006. N 165.
Следует предположить, что такая широкая формулировка Закона подразумевает возможность направления иностранным операторам не только персональных данных лиц, находящихся на территории России, но также тех данных, которые не находятся под российской юрисдикцией и лишь передаются через ее территорию. Указанное мнение основано прежде всего на отсутствии в Законе «О персональных данных» конкретизирующих норм относительно субъектов персональных данных, чьи права защищаются его нормами, либо критериев, позволяющих определить, какие именно персональные данные подлежат защите российским правом. Так, представляется, было бы логичным закрепление в тексте Закона положения о том, что его нормы призваны регулировать отношения, связанные с обработкой персональных данных граждан Российской Федерации, иностранных граждан, а также лиц без гражданства, находящихся на территории Российской Федерации. В указанном случае термин «трансграничная передача персональных данных» приобрел бы более четкую форму и конкретное содержание. В соответствии с ч. 1 ст. 12 Федерального закона «О персональных данных» до начала осуществления трансграничной передачи оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача соответствующей информации, обеспечивается адекватная защита прав субъектов персональных данных. Этот принцип связан с общей обязанностью оператора, осуществляющего и/или организующего обработку персональных данных, обеспечить защиту персональных данных и гарантировать их конфиденциальность. Однако формулировка указанной нормы делает открытым следующий логичный вопрос: что следует считать мерой адекватности правовой защиты? Закон не дает на него ответа, а следовательно, оставляет правоприменителю возможность выбора одного из следующих критериев эффективности законодательного обеспечения прав субъектов персональных данных: — развитость иностранного законодательства, регламентирующего обращение персональных данных <4>; ——————————— <4> Так, к числу стран, не входящих в зону Европейского союза, но имеющих национальные нормативные правовые акты в области защиты персональных данных и уполномоченный надзорный орган по защите прав субъектов персональных данных, относятся: Андорра, Аргентина, Израиль, Исландия, Канада, Лихтенштейн, Норвегия, Сербия, Хорватия, Черногория, Чили, Швейцария, Южная Корея, Япония.
— соответствие его нормам российского, в том числе информационного, права; — соблюдение международных стандартов в рамках национального права страны — получателя персональных данных; — уровень развития компьютерных и иных технологий в иностранном государстве; — участие иностранного государства в международных организациях и договорах, предусматривающих и реализующих меры защиты прав субъектов персональных данных <5>; ——————————— <5> Например, в качестве критерия оператор может использовать факт ратифицирования страной — получателем персональных данных Европейской конвенции «О защите прав физических лиц при автоматизированной обработке персональных данных» от 28 января 1981 г. В первую очередь это страны — члены Европейского союза: Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Ирландия, Испания, Италия, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Чехия, Швеция, Эстония.
— наличие межгосударственных соглашений Российской Федерации и государства — получателя персональных данных; — соответствие оператора определенным требованиям, выдвинутым Российским государством или оператором, и пр. Таким образом, формулировка Закона в части адекватности защиты прав субъектов персональных данных представляется неудачной и, более того, некорректной. Известно, что чем точнее и определеннее понятия, закрепленные в нормах права, тем проще и эффективнее будет реализация их предписаний на практике. Кроме того, именно путем закрепления в законе четких, конкретных понятий, не допускающих неоднозначности толкования их содержания, достигается повышение качества режима законности. Стоит предположить, что причиной того, что законодатель не раскрыл критерии, в соответствии с которыми российский оператор персональных данных должен принять решение об осуществлении их трансграничной передачи или об отказе от таковой, является многоаспектность использования указанного вида информации в рамках международных взаимосвязей. Безусловно, последнее не должно отражаться на степени их защищенности со стороны государства, а также уровне правовых гарантий, предоставляемых им субъектам персональных данных. Закон «О персональных данных» в ч. 2 ст. 12 предусматривает возможность запрета или ограничения их трансграничной передачи в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства, даже если принимающее государство может обеспечить надлежащий уровень защиты прав субъектов персональных данных. При этом настоящая норма не является отсылочной и не раскрывает, кто и в каком порядке вправе наложить указанные запрет или ограничение, а также возможно ли обжалование указанных решений. Единственной нормой, конкретизирующей смысл указанного положения, является п. 3 ч. 3 ст. 12 Федерального закона «О персональных данных», называющий в качестве ограничителя трансграничной передачи персональных данных федеральные законы. Однако их действие может распространяться только на случаи, когда трансграничная передача представляет собой угрозу для конституционного строя Российской Федерации, обороны и безопасности государства. Кроме того, необходимо учитывать, что термин «ограничение» предполагает обозначение определенных пределов вмешательства со стороны властвующего субъекта, какими в настоящем случае могли бы быть, например, ограничение в отношении получающих или передающих субъектов, объема передаваемой информации, способов ее обработки и т. д. Из формулировки статьи о запрете или ограничении трансграничной передачи «в целях защиты» отдельных объектов мы можем сделать лишь косвенный вывод о том, что причиной принятия указанных решений могут стать содержание персональной информации либо ее субъект. Примечательно и то, что Федеральный закон «О персональных данных» не содержит оговорок относительно субъектов, в отношении персональных данных которых законом мог бы вводиться специальный правовой режим трансграничной передачи, предполагающий, например, повышенный уровень конфиденциальности или усиленные меры защиты. Введение указанного положения в Закон представляется вполне обоснованным ввиду того, что обработка персональной информации отдельных должностных лиц, государственных и военных служащих может привести не только к негативным последствиям для самих субъектов данных, но также к нарушению общественных и государственных интересов. Следует отметить, что в ч. 3 ст. 12 Федерального закона «О персональных данных» содержится перечень случаев, когда трансграничная передача персональных данных возможна даже при отсутствии адекватной защиты прав их субъектов: 1) наличие согласия в письменной форме субъекта персональных данных; 2) наличие соответствующих норм в международных договорах Российской Федерации по вопросам выдачи виз, а также международных договоров об оказании правовой помощи по гражданским, семейным и уголовным делам <6>; ——————————— <6> Например, Договор между Российской Федерацией и Республикой Кыргызстан о правовой помощи и правовых отношениях по гражданским, семейным и уголовным делам от 14 сентября 1992 г. // Сборник международных договоров Российской Федерации по оказанию правовой помощи. М.: СПАРК, 1996. С. 322 — 339; Конвенция о правовой помощи и правовых отношениях по гражданским, семейным и уголовным делам от 7 октября 2002 г. // Содружество. Информационный вестник Совета глав государств и Совета глав правительств СНГ. N 2 (41). С. 82 — 130.
3) наличие соответствующих норм федеральных законов, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства; 4) исполнение договора, стороной которого является субъект персональных данных; 5) защита жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных. Наличие соответствующего перечня в тексте Закона, как отмечает У. Зинина, обусловлено необходимостью «достижения баланса общественных интересов и вопросов защиты прав субъекта персональных данных» <7>. При этом, как представляется, действующая редакция Закона не способна выполнить указанные цели в полном объеме. ——————————— <7> Зинина У. Федеральный закон «О персональных данных»: принципы регулирования и механизмы реализации // Хозяйство и право. 2007. N 3. С. 26.
Например, пункт 4 указанной нормы, предполагающий защиту прав субъектов персональных данных в рамках договорных правоотношений, называет в качестве лица, чьи персональные данные подлежат трансграничному перемещению даже в случае отсутствия адекватной правовой защиты со стороны государства-получателя, только сторону договора. Однако названный субъект вполне может быть и третьим лицом, в пользу которого заключается договор с использованием его персональных данных <8>. Исходя из смысла указанной нормы Закона, его права остаются незащищенными. ——————————— <8> Статья 430 Гражданского кодекса Российской Федерации (часть первая) от 30 ноября 1994 г. N 51-ФЗ // Российская газета. 1994. N 238 — 239.
Несмотря на всю широту спектра возможностей передачи за рубеж и использования персональных данных физических лиц, одной из главных проблем российского законодательства в этом отношении остается отсутствие нормативной базы, которая бы позволила осуществлять указанные действия с полной гарантией их безопасности. Сложившаяся ситуация обусловлена как минимум двумя факторами: — во-первых, российское законодательство не дает четких ответов на вопрос о правовых гарантиях соблюдения прав субъектов персональных данных при перемещении соответствующей информации через границу; — во-вторых, законодательство отдельных государств содержит различный подход к содержанию категорий «конфиденциальность информации» в целом и «персональные данные» в частности. Последнее обстоятельство обусловлено различием исторических факторов развития правовых норм в рассматриваемой области, принципов построения правовой системы государства, уровней развития технической составляющей и пр. Подводя итог сказанному выше, следует подчеркнуть, что именно надлежащая охрана законом информационных прав граждан в целом и права на защиту персональных данных в частности способна поддержать баланс интересов участников общественной жизни и в определенной степени компенсировать рост эффективности современных технологий, используемых при трансграничной передаче персональных данных.
——————————————————————