Законодательство о защите персональных данных: проблемы и решения
(Дятленко В. В., Волчинская Е. К.)
(«Информационное право», 2006, N 1)
ЗАКОНОДАТЕЛЬСТВО О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ
ДАННЫХ: ПРОБЛЕМЫ И РЕШЕНИЯ
В. В. ДЯТЛЕНКО, Е. К. ВОЛЧИНСКАЯ
Дятленко В. В., заместитель председателя Комитета Государственной Думы по безопасности, депутат Государственной Думы.
Волчинская Е. К., советник аппарата Комитета Государственной Думы по безопасности, кандидат экономических наук.
Нужно ли защищать информацию о конкретном человеке, которая позволяет его идентифицировать?
Для большинства людей этот вопрос уже не стоит. Законодательства многих стран, прежде всего конституции, содержат принципы защиты неприкосновенности частной жизни, защиты личной тайны, «privecy», запрет на сбор информации о человеке без его согласия. Жизнь человека в информационном мире неизбежно делает его более прозрачным для государства и общества, поэтому желание сохранить «информационную приватность» становится все более ощутимым. Собственно говоря, именно развитие информационно-телекоммуникационных технологий, внедрение их во все сферы жизни общества и государства, перевод многочисленных картотек в цифровую форму побудили людей задуматься о защите этой весьма чувствительной информации. Новые технологии, с одной стороны, существенно упростили сбор, обработку, хранение, передачу данных, а с другой — создали очевидные угрозы их незаконного оборота, что приводило к нарушениям прав личности.
Нужно ли особым образом защищать персональные данные, если и без этого существуют режимы личной, семейной, профессиональной, государственной, коммерческой, служебной тайн?
Вопрос не простой, и российское законодательство отвечает на него противоречиво.
Федеральный закон «Об информации, информатизации и защите информации» (п. 1 ст. 11) отнес персональные данные к категории конфиденциальной информации. Структура конфиденциальной информации установлена Указом Президента РФ от 6 марта 1997 г. N 188 «Об утверждении Перечня сведений конфиденциального характера», и персональные данные есть в этом Перечне. Позиция, по нашему мнению, спорная.
Во-первых, далеко не все персональные данные являются конфиденциальными. Многочисленные энциклопедии персоналий, профессиональные персональные справочники, адресные книги и т. п. — это персональные данные, которые обнародуются по согласию субъекта.
Во-вторых, персональные данные могут охраняться и охраняются в настоящее время различными режимами ограниченного доступа (см.: Закон РФ «О государственной тайне», Федеральный закон «О коммерческой тайне» и др.). Например, в режиме государственной тайны охраняются персональные данные ряда лиц, имеющих доступ к государственным секретам. В режиме коммерческой тайны могут охраняться персональные данные авторов «ноу-хау», используемых в производстве. В режиме профессиональной тайны охраняется информация персонального характера, характеризующая пользователей предоставляемых услуг (врачебная тайна, нотариальная, адвокатская, банковская, тайна усыновления и т. п.). В режиме личной тайны — сведения об особенностях личности, ее пристрастиях, привычках, интересах. В режиме семейной тайны — сведения о взаимоотношениях членов семьи, в том числе родственных.
Таким образом, персональные данные — это вид сведений, непосредственно связанных с личностью, а не режим конфиденциальности этих сведений.
Очевидно, что человек как социальный элемент, находящийся постоянно в отношениях с другими людьми, организациями, органами власти, не может не сообщать о себе персональные данные, оставаясь инкогнито в этих отношениях. В каких-то ситуациях он сам определяет, какие персональные данные ему сообщить, а в каких-то (чаще всего в отношениях с государством) он вынужден сообщать требуемые персональные данные для того, чтобы взамен государство обеспечило его права, предоставило услуги.
Законодательное регулирование сбора и использования персональных данных обусловлено защитой неприкосновенности частной жизни как базового конституционного принципа, однако особый механизм правового регулирования сбора, использования, распространения персональных данных возник, как указывалось выше, в связи с повсеместным созданием в органах власти и организациях автоматизированных баз персональных данных.
Первоначально к проблеме защиты персональных данных на международном уровне обратилась Организация по экономическому сотрудничеству и развитию (ОЭСР), принявшая в 1980 г. Основные положения о защите неприкосновенности частной жизни и международных обменов персональными данными, в которых были зафиксированы основные принципы работы с персональными данными. Эти принципы получили развитие и конкретизацию в Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» (1981 г.), которая стала объединяющим началом для соответствующего национального законодательства. Затем система защиты персональных данных развивалась в Директиве Европейского союза и Парламента 95/46/ЕС от 24 октября 1995 г. о защите прав частных лиц применительно к обработке персональных данных и свободном движении таких данных и Директиве 97/66/ЕС от 15 декабря 1997 г. по обработке персональных данных и защите конфиденциальности в телекоммуникационном секторе. В 2001 г. Советом Европы был принят Дополнительный протокол к Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, определяющий статус наблюдательного органа, обеспечивающего защиту прав и фундаментальных свобод человека в отношении его персональных данных.
В развитых индустриальных странах (США, страны ЕС) за последние двадцать лет было разработано законодательство по вопросам защиты персональных данных — приняты национальные нормативные специализированные акты, причем некоторые из них доработаны и изменены в связи с развитием телекоммуникаций.
Подходы различных стран к законодательному регулированию работы с персональными данными имеют некоторую национальную специфику, однако можно выделить ряд общих моментов, что связано, по-видимому, с процессом гармонизации европейского законодательства в рамках Евросоюза.
Во-первых, создается национальное законодательство (включая подзаконные акты), позволяющее регулировать отношения, связанные со сбором, хранением, автоматической обработкой и использованием персональных данных. Причем чаще всего это законодательство создается как самостоятельное наряду с общим законодательством о защите права на неприкосновенность частной жизни и обеспечивает:
защиту персональных данных лиц от несанкционированного доступа к ним со стороны других лиц, в том числе и представителей государственных органов и служб, не имеющих на то необходимых полномочий;
сохранность, целостность и достоверность данных в процессе работы с ними, в том числе и при передаче по международным телекоммуникациям;
надлежащий правовой режим этих данных при работе с ними для различных категорий субъектов персональных данных;
контроль за использованием персональных данных со стороны самого субъекта.
Во-вторых, создается специальная институциональная структура, обеспечивающая эффективный надзор за соблюдением прав субъекта персональных данных (например, институты Уполномоченных по защите персональных данных). Четверть века функционирует этот институт в странах Европы, доказав свою эффективность и гарантируя право доступа субъекта к информации о себе и контроль за надлежащим использованием баз, содержащих персональные данные. В ряде стран служба Уполномоченных несет достаточно большую нагрузку, регистрируя и рассматривая в год свыше 10 тысяч заявлений граждан.
Институт Уполномоченных по защите персональных данных основывается на принципах института омбудсмена и представляет собой развитую самостоятельную независимую структуру, дополняющую традиционные институты государственной власти. Создание независимого института, по-видимому, связано с необходимостью контроля деятельности различных ветвей государственной власти и создания более доступного для субъектов персональных данных и оперативно действующего механизма защиты их прав.
Вступление России в Совет Европы не обязывает ее приводить национальное законодательство в соответствие с директивами Совета Европы, однако очевидно, что равноправным членом Европейского Сообщества Россия сможет стать, только приняв «правила игры», то есть сформированную сообществом систему ценностей.
Российское законодательство, признав нормы международного права, откликнулось на директивы ЕС Федеральным законом «Об информации, информатизации и защите информации», ст. 11 которого посвящена информации о гражданах и создает правовую базу для защиты таких данных, незаконное использование которых нарушает права человека. Персональные данные определены в данном законе как сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность (ст. 2).
Европейский союз связывает правовую защиту персональных данных именно с их автоматизированной обработкой, вероятно, потому, что европейские страны уже имели законы, ориентированные на работу с персональными данными в «докомпьютерную эру». Упомянутый выше Федеральный закон не учитывает особенности автоматической обработки персональных данных. Кроме того, он регулирует (п. 2 ст. 11) использование персональных данных только граждан России, хотя на территории России находятся граждане других государств и люди без гражданства, которых также нельзя ущемлять в личных правах. В конечном итоге защита персональных данных — это защита не информации, а персоналий.
Федеральный закон «Об информации, информатизации и защите информации» заложил некоторую основу для реализации соответствующих положений Конституции РФ и норм международного права, но механизма защиты он не создал.
Эту задачу призван был решить проект Федерального закона «Об информации персонального характера», который был внесен в Государственную Думу в апреле 1998 г. группой депутатов. В течение 2,5 года он не представлялся на обсуждение Государственной Думы. В условиях частой смены состава правительства и перманентной избирательной кампании такой закон, по-видимому, был нежелателен для многих. С другой стороны, положения проекта, касающиеся создания независимого контролирующего органа в области защиты прав субъектов персональных данных, оказались неразрешимой юридической проблемой. Такой орган не был предусмотрен Конституцией РФ, дополнение полномочий Уполномоченного по правам человека в Российской Федерации требовало изменения Федерального конституционного закона. К тому же аппарат Уполномоченного только стал осваивать установленные законом полномочия и к расширению их не стремился.
В этих условиях другая группа депутатов внесла в Государственную Думу в октябре 2000 г. новый вариант проекта Федерального закона «Об информации персонального характера». Принципиальное концептуальное отличие данного варианта законопроекта состояло в том, что он не предусматривал создание независимого института Уполномоченного по правам персональных данных, а шел по пути наделения Правительством РФ одного из органов исполнительной власти соответствующими функциями. При этом не были предусмотрены затраты госбюджета на функционирование уполномоченного органа исполнительной власти. Неясно было, какой уполномоченный орган имеется в виду, ведь практически все органы собирают и ведут массивы, включающие персональные данные, поэтому уполномоченный орган будет вынужден контролировать сам себя. Наконец, не просматривались признаки «независимости» уполномоченного органа исполнительной власти по защите прав субъекта персональных данных.
Оба законопроекта так и не дошли даже до первого чтения, были отозваны субъектами права законодательной инициативы. А проблема не только не утратила свою актуальность, но стала еще более насущна в связи с широкой розничной продажей баз данных, собираемых прежде всего органами исполнительной власти и содержащих информацию персонального характера.
Возможно, беспрецедентные масштабы нарушений прав человека и гражданина побудили руководство страны принять политическое решение о ратификации Европейской конвенции «О защите физических лиц при автоматизированной обработке персональных данных», в соответствии с положениями которой страна в случае ратификации должна создать адекватное национальное законодательство, реализующее принципы этого международного акта.
Государственная Дума приняла решение о ратификации Конвенции 25 ноября 2005 г. На этом же заседании был принят в первом чтении проект Федерального закона «О персональных данных», подготовленный Правительством РФ.
В целом законопроект близок к положениям Конвенции, за одним, может быть, исключением. Он, так же как упомянутый выше законопроект, наделяет Правительство РФ правом определить орган власти, уполномоченный в области защиты прав субъектов персональных данных. Поскольку Правительству РФ подчинены только федеральные органы исполнительной власти, то, очевидно, «выбираться» уполномоченный орган будет из их числа. Так же как пять лет назад, Правительство РФ не предусматривает расходы федерального бюджета на функционирование данного органа. Так же непонятно, какого рода орган может получить соответствующие полномочия (сейчас это: федеральные министерства, федеральные службы и федеральные агентства), учитывая распределение общих полномочий между ними в рамках проводимой административной реформы. Вопрос о «независимости» подобного уполномоченного органа звучит риторически.
Наряду с этой проблемой законопроект содержит еще ряд «новаций» по отношению к положениям Конвенции, которые вызвали критику в Государственной Думе. В частности, это положения ст. 24, предусматривающей создание Государственного регистра населения Российской Федерации. По мнению Комитета Государственной Думы по безопасности, принципы и порядок создания и использования такой глобальной базы персональных данных должны регулироваться отдельным федеральным законом. Правительство РФ планировало разработку подобного закона в целях «повышения уровня социальной защиты населения и усиления ее адресности» и введения «единого персонифицированного учета социального страхования граждан» (распоряжение Правительства РФ от 14 апреля 1999 г. N 583-р). Определенная проектом цель создания государственного регистра населения существенно шире — для «обеспечения непротиворечивости содержащихся в информационных системах персональных данных». Распоряжением Правительства РФ от 9 июня 2005 г. N 748-р была утверждена Концепция создания системы персонального учета населения Российской Федерации. Согласно Концепции система персонального учета населения Российской Федерации — это система взаимодействия органов государственной власти, органов местного самоуправления, государственных и муниципальных организаций по обмену персональными данными о гражданах Российской Федерации, иностранных гражданах или лицах без гражданства, временно пребывающих и временно или постоянно проживающих в Российской Федерации (далее — граждане), на основе современных информационных технологий в рамках обеспечения конституционных прав граждан, а также предоставления услуг населению в соответствии с законодательством Российской Федерации. Правительство РФ планирует «обеспечить единый порядок сбора и использования персональных данных, а также создать систему персонального учета на основе интеграции автоматизированных систем учета в рамках единого информационного пространства». Эта цель, по мнению Правительства РФ, позволит решить следующие проблемы:
неполный охват населения любой из существующих автоматизированных систем учета;
низкий уровень автоматизации органов государственной власти, органов местного самоуправления, государственных и муниципальных организаций, осуществляющих сбор и хранение персональных данных;
недоступность персональных данных, размещаемых в отдельных автоматизированных системах учета, для заинтересованных органов государственной власти на межведомственном уровне и как следствие — дублирование бюджетных расходов по сбору уже имеющихся в других ведомствах и организациях персональных данных; невозможность сопоставления и анализа персональных данных из различных автоматизированных систем учета для получения полной, достоверной и актуальной информации о населении;
сложность обеспечения оперативного обмена персональными данными между отдельными автоматизированными системами учета, имеющими различную структуру хранения персональных данных;
отсутствие единого механизма однозначного установления соответствия персональных данных, размещаемых в различных автоматизированных системах учета, конкретному физическому лицу в любой момент времени.
В связи с этим документом необходимо напомнить, что ратифицированная Конвенция устанавливает принципы автоматизированной обработки персональных данных, в том числе принцип сбора данных для определенных и законных целей и запрет на их использование иным образом, несовместимым с этими целями (п. «b» ст. 5). Этот принцип в ряде национальных законов европейских стран реализован в виде прямого запрета на объединение баз данных, собранных для разных целей.
«Интеграция автоматизированных систем учета в рамках единого информационного пространства» может создать угрозу нарушения фундаментальных прав и свобод физических лиц, в том числе права на неприкосновенность частной жизни, что противоречит букве и духу Конвенции.
Серьезные возражения представителей ряда конфессий встретило положение законопроекта, касающееся идентификаторов персональных данных (ст. 23). Здесь хотелось бы отделить эмоциональные возражения по поводу введения «цифрового обозначения» человека как «оскорбляющие религиозные чувства верующего» от опасений, что с помощью таких идентификаторов данные об отдельном человеке, содержащиеся в различных базах, могут быть легко аккумулированы, и это сделает его прозрачным перед государством и обществом.
Важно понимать и разъяснять верующим назначение идентификаторов, их вспомогательную роль в современной технологии обработки больших массивов однородной информации. Ведь различными идентификаторами являются номер членского билета в библиотеке, номер медицинской карточки в поликлинике, любое удостоверение личности содержит уникальный учетный номер, даже любой проездной билет. Отказаться от использования таких идентификаторов общество не может: это не только нетехнологично, возврат к неавтоматизированной обработке данных затруднит их обработку, анализ, контроль и в конечном счете создаст большие трудности при предоставлении соответствующих услуг населению.
Вместе с тем любой общий для граждан России идентификатор должен вводиться только федеральным законом с указанием целей и механизмов его использования, обязанностей по обеспечению его конфиденциальности, наряду с другими персональными данными, ответственности за нарушение прав субъекта персональных данных. Таких глобальных идентификаторов на федеральном уровне пока два: идентификационный номер налогоплательщика (Налоговый кодекс РФ (часть вторая)) и страховой номер индивидуального лицевого счета в системе пенсионного страхования (Федеральный закон «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»). Собственно, законопроект «О персональных данных» призван создать механизм защиты прав субъекта персональных данных, включая и идентификаторы.
С позиций оценки эффективности механизмов защиты, предлагаемых законопроектом, необходимо признать, что он не учитывает в должной мере практику законодательного регулирования обращения персональных данных, основанную на реализации директив ЕС (1995 и 2002 гг.), закрепляющих и усиливающих принципы, содержащиеся в Конвенции, и Дополнительного протокола к Конвенции.
Важнейшее для законопроекта понятие «обработка персональных данных» не включает такие операции, как сбор персональных данных и их распространение (п. 2 ч. 1 ст. 1), в то время как Конвенция использует понятие «автоматизированная обработка» (п. «с» ст. 2), которое включает наряду с другими поиск или распространение персональных данных. Таким образом, сфера действия федерального закона ограничена сбором и обработкой персональных данных (ч. 1 ст. 3), то есть не включает их распространение, хотя чаще всего права субъектов нарушаются в процессе незаконного сбора данных и незаконного их распространения. Термин «распространение» определен в ст. 1, но больше в проекте практически не используется, следовательно, проект не устанавливает требования к операторам информационных систем персональных данных в части распространения этих данных. Из этого следует, что принципы обработки персональных данных распространяются не на все действия с персональными данными (законопроект определяет только принципы и условия сбора и обработки персональных данных).
Конвенция оперирует понятием «автоматизированный файл» (любой комплекс данных, подвергающихся автоматизированной обработке). Законопроект использует понятие «информационная система персональных данных», то есть информационная система, в которой осуществляется обработка персональных данных. При этом информационная система в соответствии с законодательством об информации, информационных технологиях и защите информации представляет собой совокупность баз данных и средств, обеспечивающих поиск, хранение, обработку, предоставление или распространение информации. Как следствие — законопроект предъявляет излишние требования к информационным системам, которые наряду с базами персональных данных включают и базы, содержащие другие данные, в том числе: требования к регистрации таких систем (ст. 16), требования к процедурам хранения, обмена и защиты данных в информационных системах (ст. 17) и иные.
Понятие «конфиденциальность информации» используется в рассматриваемом проекте как любое ограничение доступа к информации. Действующее законодательство выделяет в информации ограниченного доступа конфиденциальную информацию и информацию, составляющую государственную тайну (секретную). Также и Конвенция в ч. 3 ст. 15 устанавливает обязанность лица, причастного к обработке персональных данных, «сохранять секретность или конфиденциальность этой информации».
Требуют уточнения и непротиворечивого их развития в проекте принципы и условия обработки персональных данных (ст. ст. 5, 6, 15) в части регулирования сбора и использования персональных данных в целях научного и литературного творчества. Так, в соответствии с ч. 2 ст. 15 обезличиваться должны данные, получаемые при проведении «научных… и иных исследований». Это требование не основано на положениях Конвенции и Директивы 95/46/ЕС. Последняя указывает на необходимость гарантий в отношении персональных данных, собираемых для указанных целей, но делает исключение для обработки персональных данных, осуществляемой исключительно в целях журналистики или в целях художественного или литературного творчества, в противном случае под запрет попадает вся историческая литература.
Целесообразно дополнить принципы обработки персональных данных положением о запрете объединения массивов персональных данных, собранных для несовместимых между собой целей, что было бы дополнительной гарантией защиты прав субъекта персональных данных. Исключение из такого запрета может быть сделано только в целях, определенных ч. 3 ст. 55 Конституции Российской Федерации.
Условия обработки персональных данных, определенные ч. 1 ст. 6, исключают возможность сбора и обработки персональных данных в случаях, если такая обработка не предусмотрена законом. Данное условие представляется неоправданно жестким, поскольку любое лицо вправе собирать и обрабатывать персональные данные, доверенные ему субъектом персональных данных, даже если это прямо не предусмотрено законом. Директива 95/46/ЕС однозначно указывает на право контролера (оператора) самостоятельно определять цели и средства обработки персональных данных (п. «d» ст. 2). Вместе с тем целесообразно дополнить цели обработки персональных данных случаями, когда обработка необходима для исполнения контракта, в котором субъект данных является стороной или для принятия мер до заключения контракта по просьбе субъекта данных; когда обработка необходима для выполнения юридического обязательства, субъектом которого является оператор; или когда обработка необходима для достижения общественно значимых целей или ее осуществление возложено на оператора или третью сторону, которой персональные данные раскрыты законом в рамках властных полномочий.
Концептуальным положением законопроекта является обязательное письменное согласие субъекта персональных данных на передачу их оператором третьим лицам (ч. 2 ст. 8, ч. 1 ст. 10, ч. 4 ст. 11), при этом неясно, является ли «передача третьим лицам» формой распространения персональных данных и требуется ли согласие субъекта при их распространении. Представляется, что данное условие избыточно и нетехнологично либо в проекте необходимо определить, что считается письменным согласием субъекта, учитывая, что обмен данными и доступ к ним может осуществляться с использованием электронных средств передачи информации.
Законопроект выделяет особые категории персональных данных (ст. 9), в том числе судимость, устанавливает запрет на их обработку и некоторые исключения из этого правила. По-видимому, для сведений о судимости должен быть установлен особый порядок их обработки, но запрет вряд ли оправдан, поскольку судебное решение в соответствии с законодательством Российской Федерации объявляется публично за некоторыми исключениями (ч. 8 ст. 10 ГПК РФ, ч. 8 ст. 11 АПК РФ, ч. 7 ст. 241 УПК РФ). Кстати, акты ЕС, принятые в развитие Конвенции, не связывают однозначно судимость с особыми категориями персональных данных (п. 5 ст. 8 Директивы 95/46/ЕС). Кроме того, необходимо определиться с содержанием (объемом) информации о судимости, которая может быть представлена по запросу, и кругом субъектов, которым она может быть представлена. Например, в такой информации может нуждаться работодатель.
Члены Комитета Государственной Думы по безопасности — соисполнителя по рассматриваемому законопроекту подготовили пакет поправок для устранения указанных замечаний.
В частности, предлагается уточнить понятия «персональные данные», «обработка персональных данных», «оператор», «распространение персональных данных», «блокирование персональных данных».
Предложено дополнить ст. 1 определениями понятий «база персональных данных», «обработчик», «использование персональных данных», «передача персональных данных», «согласие субъекта персональных данных», «доступ к персональным данным», «конфиденциальность персональных данных», «информационно-телекоммуникационная сеть».
Уточнены и дополнены: сфера действия Федерального закона (ст. 3); принципы и условия обработки персональных данных (ст. ст. 5 — 6); случаи обработки особых категорий персональных данных (ст. 9); порядок осуществления доступа к персональным данным третьих лиц (ст. 12) и порядок получения персональных данных оператором (ст. 15); обязанности оператора в этой связи (ст. 20); порядок регистрации баз персональных данных (ст. 16); требования к обеспечению целостности и сохранности персональных данных (ст. 17); порядок формирования, права и обязанности уполномоченного органа (ст. 21) и другие положения законопроекта.
Предложено исключить ряд статей, в том числе: ст. 24 «Государственный регистр населения Российской Федерации»; ст. 10, посвященную передаче персональных данных, поскольку положения данной статьи фактически воспроизводят условия обработки персональных данных (ст. 6); ст. 18 «Особенности регистрации информационных систем персональных данных, реализующих требования к обеспечению целостности и сохранности персональных данных с помощью шифровальных (криптографических) средств». Положения этой статьи вряд ли будут способствовать обеспечению конституционных прав человека и гражданина, поскольку для субъекта персональных данных важны не столько уровень защиты собранных данных, сколько цели их сбора, порядок использования или распространения. Кроме того, по мере развития технологий возможно создание и использование иных, не менее эффективных, средств защиты информации. Вместе с тем упрощенный порядок регистрации должен быть, по нашему мнению, определен непосредственно в законе, в противном случае операторы баз персональных данных ставятся в неравное положение. Таким образом, депутаты настроены на активную работу над законопроектом «О персональных данных». Большинство вносимых в него изменений направлено на гармонизацию его положений с международными актами и положениями европейских законов.
Статья подготовлена с использованием СПС «КонсультантПлюс».
——————————————————————