Персональные данные как информация ограниченного доступа
(Бундин М. В.) («Информационное право», 2009, N 1)
ПЕРСОНАЛЬНЫЕ ДАННЫЕ КАК ИНФОРМАЦИЯ ОГРАНИЧЕННОГО ДОСТУПА
М. В. БУНДИН
В статье исследуется правовая основа категории «персональные данные», приводятся пять организационных мер по защите конфиденциальной информации. Предлагается введение в оборот категории «конфиденциальные персональные данные» и уточнение состава субъектов этих правоотношений. С момента появления персональных данных как категории в российском законодательстве в 1995 г. в Федеральном законе «Об информации, информатизации и защите информации» персональные данные сразу же были отнесены к разряду конфиденциальной информации, т. е. информации ограниченного доступа <1>. Принятый впоследствии Указ Президента РФ «Об утверждении Перечня сведений конфиденциального характера» <2> также содержит их упоминание в качестве конфиденциальной информации. Действующий ныне Федеральный закон «Об информации, информационных технологиях и о защите информации» <3> аналогичным образом говорит о персональных данных в статье об ограничении доступа к информации, однако прямо не называет их в качестве конфиденциальной информации или информации ограниченного доступа, указывая лишь на особый порядок доступа к ним, предусмотренный специальным законом. Федеральный закон «О персональных данных» (далее — Закон), что интересно, также не характеризует персональные данные в целом как конфиденциальную информацию, даже более того, наряду с просто определением персональных данных содержит определение общедоступных персональных данных — термин, который невозможно логически соотнести с информацией ограниченного доступа. ——————————— <1> См.: Федеральный закон от 20 февраля 1995 г. N 24-ФЗ «Об информации, информатизации и защите информации» (ч. 1 ст. 11) // Российская газета. 2003. 7 июля. <2> См.: Указ Президента РФ от 6 марта 1997 г. N 188 «Об утверждении Перечня сведений конфиденциального характера» // СПС «Гарант» по состоянию на 1 сентября 2008 г. URL: http:// www. garant. ru. <3> См.: Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» // Российская газета. 2006. 27 июля.
В ст. 3 Закона содержится определение «конфиденциальности персональных данных», которая заключается в их нераспространении, т. е. недопущении действий, направленных на передачу и ознакомление с персональными данными третьими лицами, их опубликование, размещение в открытом доступе. Соблюдение конфиденциальности не требуется в случае обработки общедоступных персональных данных и в случае их обезличивания, т. е. утраты всякой связи с субъектом, что не позволяет, по-видимому, их в дальнейшем вообще рассматривать в качестве персональных данных. Следовательно, рассматривать персональные данные в целом как информацию ограниченного доступа вряд ли представляется возможным, скорее, было бы правильным ввести в таком случае в оборот категорию «конфиденциальные персональные данные». В итоге из всей массы персональных данных это позволило бы выделить те из них, на которые законодательством распространяется требование соблюдения конфиденциальности. Исключением из правила следует считать случаи, упомянутые в ч. 2 ст. 1 Закона — персональные данные, составляющие государственную тайну, хранящиеся в архивах, находящиеся в Едином реестре индивидуальных предпринимателей и юридических лиц, обрабатываемые исключительно для бытовых нужд. На часть из них будет распространяться другой режим ограничения доступа — режим государственной тайны. В отношении двух других случаев будут действовать совершенно другие правовые режимы, в рамках которых говорить об ограничении доступа к персональным данным в полной мере невозможно. Законодательство об архивном деле предусматривает общий запрет на доступ к информации о частной жизни лица, его личной и семейной тайне, о чем можно судить на основании п. 3 ст. 25 Федерального закона «Об архивном деле в РФ» <4>, учитывая, что ни того ни другого определения законодательно не существует. Сведения Единых государственных реестров юридических лиц и индивидуальных предпринимателей являются на основании закона общедоступными, за исключением паспортных данных физических лиц (но не в случае индивидуальных предпринимателей) и информации о банковских счетах юридических лиц, индивидуальных предпринимателей <5>. Последний упомянутый случай исключения из правового режима конфиденциальности персональных данных, когда речь идет об их обработке для личных бытовых нужд, следует рассматривать как достаточно спорный. Вероятно, в таком случае сложно вести речь о конфиденциальности таких персональных данных в полной мере, но можно говорить о существовании общего требования об уважении прав и свобод субъекта персональных данных, в первую очередь права на уважение частной жизни, личную и семейную тайну, при их обработке, установленного Конституцией РФ в ст. ст. 23 и 24. ——————————— <4> См.: Федеральный закон от 22 октября 2004 г. N 125-ФЗ «Об архивном деле в РФ» (в ред. Федерального закона от 4 декабря 2006 г. N 202-ФЗ) // СПС «Гарант» по состоянию на 1 сентября 2008 г. URL: http://www. garant. ru. <5> См.: Федеральный закон 8 августа 2001 г. N 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей» (в ред. Федерального закона от 4 декабря 2006 г. N 202-ФЗ) (ст. 6) // СПС «Гарант» по состоянию на 1 мая 2008 г. URL: http://www. garant. ru.
Возвращаясь, собственно, к режиму конфиденциальности персональных данных, установленному Законом, следует сказать, что его суть, по аналогии с другими видами информации ограниченного доступа, должна заключаться в установлении особого порядка доступа к ним, их использования и распространения. Но в Законе (ст. 19) закреплено лишь крайне общее требование — предпринять организационные и технические меры по охране от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Технические меры, которые обязан предпринять оператор, можно считать достаточно определенными, поскольку действуют аналогичные нормативные положения, связанные с защитой иных видов конфиденциальной информации. Такая деятельность по защите конфиденциальной информации осуществляется путем лицензирования и сертификации средств защиты информации Федеральной службой по техническому и экспортному контролю, на основании соответствующих положений <6>. Но вот что касается организационных мер, то здесь совершенно отсутствуют какие-либо четкие указания на этот счет. По аналогии с другими категориями информации ограниченного доступа, такими как государственная тайна <7>, коммерческая тайна <8>, служебная тайна (в том числе на основании находящегося на стадии рассмотрения в Государственной Думе РФ проекта Федерального закона «О служебной тайне» <9>), к таким действиям логически следовало бы отнести: ——————————— <6> См.: Положение о сертификации средств защиты информации, утверждено Постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608 (с изменениями и дополнениями от 23 апреля 1996 г. N 509; от 29 марта 1999 г. N 342; от 17 декабря 2004 г. N 808); Положение о сертификации средств защиты информации по требованиям безопасности информации, утверждено Приказом Председателя Государственной технической комиссии при Президенте Российской Федерации от 27 октября 1995 г. N 199; Положение о лицензировании деятельности по технической защите конфиденциальной информации, утверждено Постановлением Правительства Российской Федерации от 15 августа 2006 г. N 504 (указанные нормативные документы доступны по официальном электронному адресу Федеральной службы по техническому и экспортному контролю. URL: http://www. fstec. ru/_razd/_ispo. htm). <7> См.: Закон Российской Федерации от 21 июля 1993 г. N 5485-1 «О государственной тайне», раздел 3 «Отнесение сведений к государственной тайне и их засекречивание» (в ред. Федеральных законов от 6 октября 1997 г. N 131-ФЗ, от 30 июня 2003 г. N 86-ФЗ, от 11 ноября 2003 г. N 153-ФЗ, от 29 июня 2004 г. N 58-ФЗ, от 22 августа 2004 г. N 122-ФЗ, с изм., внесенными Постановлением Конституционного Суда РФ от 27 марта 1996 г. N 8-П, Определениями Конституционного Суда РФ от 10 ноября 2002 г. N 293-О, от 10 ноября 2002 г. N 314-О) // СПС «Гарант» по состоянию на 1 сентября 2008 г. URL: http://www. garant. ru. <8> См.: Федеральный закон от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне» (в ред. Федерального закона от 2 февраля 2006 г. N 19-ФЗ, от 18 декабря 2006 г. N 231-ФЗ) (ст. 10) // СПС «Гарант» по состоянию на 1 сентября 2008 г. URL: http://www. garant. ru. <9> См.: проект Федерального закона, законопроект N 124871-4 «О служебной тайне», глава 2 «Отнесение сведений к служебной тайне и снятие ограничений на их распространение» (URL: http://asozd. duma. gov. ru /work/dz. nsf/ById/24e5e61198d60170432571BB00590232?opendocument).
1. Установление перечня персональных данных. 2. Установление круга субъектов, имеющих доступ к персональным данным. 3. Использование специального грифа и реквизитов, позволяющих в дальнейшем идентифицировать информацию как конфиденциальную, — «Конфиденциально». 4. Учет (регистрация) лиц, фактически получивших доступ к персональным данным. 5. Урегулирование отношений по охране конфиденциальности информации работниками и другими лицами на основании трудовых и гражданско-правовых договоров. Во всех перечисленных случаях такие действия должны предприниматься своевременно (заблаговременно), и режим конфиденциальности/секретности будет установлен в отношении информации исключительно после принятия всех перечисленных мер. В отношении же персональных данных законодатель от такой четкой регламентации действий оператора по неясным причинам отказался. В частности, сформировать перечень персональных данных, обработка которых осуществляется конкретным оператором, представляется вполне возможным. Закон в ст. 5 указывает на то, что персональные данные не должны быть избыточными и превышать объем, необходимый для достижения заранее заявленных целей, а значит, их конкретный перечень можно и нужно сформировать заблаговременно. То же касается персональных данных, обработка которых разрешена на основании закона (персональные данные работников) или содержащихся в договорах между субъектом персональных данных и оператором (обработка персональных данных клиентов, потребителей, абонентов и т. д.). Хоть их обработка не требует соответствующего уведомления органа по защите прав субъектов персональных данных или согласия последнего, их также необходимо было бы включить в рассматриваемый перечень. Использование специального грифа также дало бы возможность четкого обозначения той информации, на которую распространяется режим конфиденциальности персональных данных, установленный Законом. Отдельно стоит рассмотреть проблему охраны конфиденциальности персональных данных в рамках трудовых отношений. По аналогии с другими видами конфиденциальной информации такие положения необходимо включать в трудовые договоры с работниками, имеющими доступ к конфиденциальным персональным данным. То же касается предупреждения работников о возможной ответственности за передачу, распространение персональных данных, обязанность работников при увольнении передать все носители и другие материальные объекты, содержащие персональные данные, работодателю, обязанность работника сохранять конфиденциальность персональных данных, ставших ему известными при исполнении трудовой функции, после расторжения трудового договора и т. д. К сожалению, Закон не содержит ни одного из указанных положений и, более того, в принципе не выделяет работника, т. е. физическое лицо, которое непосредственно при исполнении своих трудовых обязанностей осуществляет эксплуатацию информационной системы, базы/банка персональных данных и имеет к ним прямой доступ. Аналогичная ситуация сложилась в вопросе доступа к информационным системам, базам/банкам персональных данных третьих лиц на основании гражданско-правовых договоров, в частности договоров о технической поддержке, направленных на обеспечение бесперебойного функционирования информационных систем, баз/банков персональных данных, и других подобных случаях. Учет данных рекомендаций позволил бы разрешить множество вопросов, связанных с привлечением к юридической ответственности виновных лиц, и в большей степени ее дифференцировать. Поскольку по аналогии с другими видами конфиденциальной информации чаще всего субъектом ответственности является специальный субъект, т. е. лицо, имеющее допуск/доступ к ней на законном основании и принявшее в добровольном порядке на себя обязательства по сохранению конфиденциальности. Отметим еще один существенный аспект, связанный с охраной конфиденциальности персональных данных. Основным «конфидентом» в отношении персональных данных на основании Закона следует считать «оператора», а в некоторых случаях третьих лиц, которые получили к ним доступ. При этом сам субъект персональных данных, являясь одним из участников отношений по охране их конфиденциальности, такой обязанности по закону не несет. Более того, он обладает рядом «эксклюзивных прав» — правом доступа к своим персональным данным, включая право требовать их уточнения, а также, что самое главное, вправе в любой момент снять режим конфиденциальности — согласиться на их общедоступность, сообщить их или передать их третьим лицам, другим операторам и в целом распорядиться ими по своему усмотрению. Однако оператор как конфидент предположительно обязан сохранять иногда конфиденциальность персональных данных, ставших фактически общеизвестными. К примеру, если они стали таковыми без согласия субъекта в результате противоправных действий, предположим, путем публикации в СМИ. В таких случаях требовать дальнейшего сохранения конфиденциальности информации в большинстве случаев было бы просто нелогично, поскольку эта информации стала общедоступной. Общедоступность же персональных данных четко обусловлена двумя условиями — это согласие субъекта или прямое требование закона (например, положения ст. 7 Федерального закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» <10>, предусматривающая идентификацию лица при совершении крупных сделок и передачу этой информации в соответствующие государственные структуры). Следовательно, ввиду отсутствия упомянутых выше двух условий в рассматриваемой ситуации, оператор по-прежнему был бы обязан сохранять их «конфиденциальность», как это ни парадоксально. В противном случае это было бы прямым нарушением прав субъекта, который мог пострадать, если бы информация о его частной или личной жизни, содержащаяся в персональных данных, стала предметом всеобщего обсуждения. ——————————— <10> См.: Федеральный закон от 7 августа 2001 г. N 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» // Российская газета. 2001. 7 авг.
Часть указанных проблем в определении содержания правового режима конфиденциальности персональных данных можно объяснить особенностями природы персональных данных, которая тесным образом связана с правом на уважение частной жизни индивида, личную и семейную тайну. Некоторые российские авторы, например В. Н. Лопатин, в связи с этим прямо указывают на персональные данные как на институт охраны права на частную жизнь <11>. Такое положение дел объясняет необходимость особого подхода к персональным данным при их обработке независимо от существования режима ограничения доступа к ним, поскольку их использование не должно нарушать общих фундаментальных прав индивида, таких как право на частную жизнь, личную и семейную тайну. ——————————— <11> См.: Бачило И. Л., Лопатин В. Н., Федотов М. А. Информационное право. СПб.: Изд. «Юридический центр Пресс», 2005. С. 243.
Другая часть проблем объясняется тем, что персональные данные в случае наличия требования их конфиденциальности, которая обоснованно презюмируется в том числе на основании последовательного анализа положений Закона, можно отнести к числу «производных» тайн <12> или категорий информации ограниченного доступа. Это, в свою очередь, требует от их обладателя принятия безусловных мер по охране их конфиденциальности, поскольку охраняются в данном случае не его права и интересы, а права и интересы других лиц, в частности фундаментальные права и свободы человека. Поэтому, по мнению авторов, в отсутствие прямого интереса обладателя в защите конфиденциальности персональных данных существует необходимость четкого формулирования его обязанности в этом случае. ——————————— <12> См.: О классификации конфиденциальной информации на «первичные» и «производные» тайны см.: Волчинская Е. К. Коммерческая тайна в системе конфиденциальной информации. URL: http://www. infolaw. ru/lib/2005-3-com-secret-in-confidential-information.
Последнее, что стоит отметить при характеристике персональных данных как конфиденциальной информации, связано с их соотношением в таком качестве с другими категориями информации с ограниченным доступом, что может представлять некоторые сложности. С одной стороны, персональные данные связаны с необходимостью защиты частной жизни индивида, сферы, по мнению большинства современных авторов <13>, едва ли поддающейся четкому определению, с другой стороны, почти все определения, в том числе и законодательное, характеризуют их как «любую информацию, которая может быть связана с индивидом или идентифицирована с ним», а следовательно, персональные данные могут охватывать практически все сферы жизни индивида. Совершенно очевидно, что ввиду такой сложной природы они могут потенциально охраняться на условиях других режимов конфиденциальности/секретности, в частности на условиях режима государственной тайны, коммерческой тайны, служебной тайны и многих видов профессиональных тайн (врачебной, нотариальной, тайны усыновления и т. д.). На подобный вывод наталкивает анализ целого ряда положений Закона, по смыслу которых персональные данные составляют одновременно: государственную тайну (ч. 2 ст. 1), личную, семейную тайну, тайну частной жизни (ст. ст. 2, 12), врачебную тайну (п. п. 3 — 4 ч. 2 ст. 10 и ст. 12), тайну следствия (п. 6 ч. 2 ст. 10), тайну правосудия и оперативно-розыскной деятельности (ст. 11). Вполне очевидно, что за некоторым исключением в отношении такой информации будут действовать одновременно требования законодательства о защите персональных данных и иного специального законодательства. ——————————— <13> См.: Бачило И. Л., Лопатин В. Н., Федотов М. А. Указ. соч. С. 220; Головкин Р. Б. Правовое и моральное регулирование частной жизни в современной России: Дис. … д-ра юрид. наук: 12.00.01. Н. Новгород, 2005. С. 117; Баранов В. М. Категория «частная жизнь» // Право граждан на информацию и защита неприкосновенности частной жизни. Н. Новгород, 1999. С. 34 — 37.
В заключение выразим общее суждение о некотором несовершенстве российского Закона в части определения персональных данных в качестве информации ограниченного доступа или конфиденциальной, что было отмечено уже и другими авторами, в частности Н. И. Петрыкиной <14>. В качестве возможных путей совершенствования положений законодательства авторам видится целесообразным сформулировать следующие предложения и выводы. ——————————— —————————————————————— КонсультантПлюс: примечание. Статья Н. И. Петрыкиной «К вопросу о конфиденциальности персональных данных» включена в информационный банк согласно публикации — «Законы России: опыт, анализ, практика», 2007, N 6. —————————————————————— <14> Петрыкина Н. И. К вопросу о конфиденциальности персональных данных // Правовая система «Гарант» по состоянию на 1 мая 2008 г. URL: http://www. garant. ru.
Во-первых, стоит ввести в законодательную материю понятие «конфиденциальные персональные данные», т. е. персональные данные, на которые, в соответствии Законом о персональных данных, распространяется специальный правовой режим ограничения доступа к ним — режим конфиденциальности персональных данных. Во-вторых, следует выделить в Законе о персональных данных основные организационные меры по установлению режима конфиденциальности персональных данных. К таковым мерам следует отнести: установление оператором перечня конфиденциальных персональных данных, обработку которых он осуществляет, определить круг субъектов, которые будут иметь доступ к ним, установить правила использования соответствующих реквизитов на материальных носителях, содержащих конфиденциальные персональные данные. В-третьих, указать в Законе о персональных данных в качестве субъектов отношений по охране конфиденциальности персональных данных «обладателя» информационной системы, базы/банка персональных данных и непосредственно «оператора» информационной системы, базы/банка персональных данных, т. е. лицо, которое на основании трудового или гражданско-правового договора осуществляет эксплуатацию, обслуживание такой информационной системы и имеет доступ к персональным данным. Определить особенности их правового статуса и ответственности.
——————————————————————