Персональным данным — особую защиту
(Стрельников В.) («ЭЖ-Юрист», 2013, N 12)
ПЕРСОНАЛЬНЫМ ДАННЫМ — ОСОБУЮ ЗАЩИТУ
В. СТРЕЛЬНИКОВ
Владилен Стрельников, кандидат юридических наук, г. Саратов.
В соответствии с законом гражданин обязан представить данные о себе третьему лицу, например работодателю. Иногда он делает это добровольно, в частности размещает информацию о себе в социальных сетях. В результате в автоматизированных информационных системах накапливаются персональные данные об этом человеке. Усложнение методов и средств организации машинной обработки, повсеместное использование глобальной сети Интернет приводят к тому, что данные становятся более уязвимыми. В этих условиях защита информации в процессе ее сбора, хранения, обработки и передачи приобретает исключительно важное значение.
Право на неприкосновенность частной жизни
В научной литературе справедливо отмечается, что «в единой системе конституционных прав и свобод человека и гражданина в Российской Федерации праву на неприкосновенность частной жизни, закрепляемому ст. 23 Конституции Российской Федерации, принадлежит особая роль в обеспечении индивидуальности отдельных людей в их взаимоотношениях с обществом и государством. Указанное право неразрывно связано с такими понятиями, как жизнь, равенство, свобода, неприкосновенность личности. Его ценность состоит в том, что степень реального осуществления права на неприкосновенность частной жизни определяет положение человека в обществе, а следовательно, и уровень развития самого общества, поэтому поиск оптимальных моделей взаимоотношений государства и личности, а также личностей между собой представляет сложнейшую проблему на протяжении длительного времени» <1>. ——————————— <1> Балашкина И. В. Особенности конституционного регулирования права на неприкосновенность частной жизни в Российской Федерации // Право и политика. 2007. N 7.
Одним из важнейших направлений обеспечения права на неприкосновенность частной жизни является защита персональных данных граждан. Каждый гражданин в процессе своей жизни вступает во взаимоотношения с различными предприятиями, организациями, учреждениями, а также другими гражданами. В результате у них накапливаются данные о конкретном индивиде, начиная с самых простых (фамилии, имени, отчества, даты и места рождения и т. п.) и заканчивая очень специфическими (сведениями о заболеваниях, судимостях, размерах доходов, имуществе и пр.). При этом гражданин не желает, чтобы сведения о нем становились известны широкому кругу лиц. В целях защиты всей этой информации используется специальный правовой режим персональных данных.
Международный опыт
Необходимость особой защиты персональных данных уже достаточно давно признается мировым сообществом. Так, в США действует несколько законов, имеющих отношение к работе с персональными данными. Наиболее полно регулируются вопросы доступа и получения личной информации Федеральным законом о свободе информации 1966 года, существенно дополненным в 1974 году, и Федеральным законом о защите частной жизни 1974 года. Оба закона обеспечивают частным лицам право доступа к их личному досье за некоторыми исключениями <2>. ——————————— <2> Богатыренко З. С. Новейшие тенденции защиты персональных данных работника в российском трудовом праве // Трудовое право. 2006. N 10.
В 1972 году в США создана Комиссия по изучению влияния компьютерных технологий на приватность, по результатам отчета которой принят Билль о правах в компьютерную эпоху, получивший название «Кодекс справедливого использования информации» <3>. Данный Кодекс базируется на 5 основных принципах: ——————————— <3> Гарфинкль С. Все под контролем: частная жизнь под угрозой // http://bugtraq. ru.
1) не должно быть систем, накапливающих персональную информацию, сам факт существования которых является секретом; 2) каждый человек должен иметь возможность контролировать, какая информация о нем хранится в системе и каким образом она используется; 3) каждый человек должен иметь возможность не допустить использования информации, собранной о нем для одной цели, в других целях; 4) каждый человек должен иметь возможность скорректировать информацию о самом себе; 5) каждая организация, занимающаяся созданием, сопровождением, использованием или распространением массивов информации, содержащих персональные данные, должна обеспечить использование этих данных только в тех целях, для которых они собраны, и принять меры против их использования не по назначению. Однако наибольшее влияние этот отчет имел не на правовую систему Соединенных Штатов Америки, а на законодательство стран Европы. В течение нескольких лет после публикации отчета практически все страны Европы приняли соответствующие законы, в основу которых были положены изложенные выше принципы <4>. ——————————— <4> Балашкина И. В. Особенности конституционного регулирования права на неприкосновенность частной жизни в Российской Федерации // Право и политика. 2007. N 7.
Так, в 1984 году в Великобритании принят закон о защите данных, который вступил в силу в конце 1987 года. В нем закреплены основные принципы сбора, автоматизированной обработки, хранения и передачи данных, согласно которым только зарегистрированные в установленном порядке данные подлежат сохранению, использованию и выдаче. Лицо, чьи данные подлежат учету и внесены в регистр, имеет право доступа к информации о нем, право корректировки или уничтожения касающихся его данных в случае их неадекватности или незаконности способов получения. При отказе в выдаче информации или внесении в нее исправлений гражданин имеет право обратиться с жалобой в суд. Французский закон об информатике, картотеках и свободах 1978 года, вступивший в действие в 1979 году в публичном секторе и в 1980 году — в частном, в ст. 1 устанавливает, что автоматизированная обработка данных должна осуществляться в интересах граждан. При этом не должны допускаться посягательства на самобытность личности, на права человека, на частную жизнь, на индивидуальные и публичные свободы. В этом законе подробно урегулированы вопросы сбора, регистрации и хранения персональных данных, а также доступа лиц к касающейся их информации. Названный документ предусматривает уголовную ответственность в виде штрафа или тюремного заключения максимум на срок до 5 лет за сбор персональных данных обманным или иным недозволенным путем. Право гражданина на ознакомление с собираемой и хранимой информацией о нем, а также на ее исправление и уточнение гарантируется правом обжаловать в судебном порядке отказ в доступе к персональной информации.
Как обстоят дела в России
Впервые в Российской Федерации нормы, касающиеся персональных данных, были введены Конституцией РФ в 1993 году. Она провозгласила право каждого на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени (ч. 1 ст. 23) и право каждого на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений (ч. 2 ст. 23), а также недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия (ч. 1 ст. 24). В Федеральном законе от 20.02.1995 N 24-ФЗ «Об информации, информатизации и защите информации» (в настоящее время утратил силу) персональные данные были определены как сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность. Данное определение критиковалось в специальной литературе, так как исходя из него к персональным данным могли относиться только те сведения, которые собирались в целях идентификации ранее неизвестного лица, в то время как информация может собираться и об уже известном лице. Важно отметить указание на возможность идентификации. Это уточнение позволяет охватить и случаи, когда информация не включает имя лица, однако, учитывая определенный способ ее организации, можно при желании установить и имя субъекта информации (например, по порядковому номеру) <5>. ——————————— <5> Калятин В. О. Персональные данные в Интернете // Журнал российского права. 2002. N 5.
Данная ошибка была повторена в отношении государственных служащих в Указе Президента РФ от 30.05.2005 N 609 «Об утверждении положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела». В нем было установлено, что под персональными данными гражданского служащего понимаются сведения о фактах, событиях и обстоятельствах жизни гражданского служащего, позволяющие идентифицировать его личность и содержащиеся в личном деле либо подлежащие включению в личное дело. Более правильный подход избрали авторы Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных». Термин «персональные данные» определялся как любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (ст. 3 Закона N 152-ФЗ). Это максимально широкое понимание данного термина. Такой подход следует считать правильным. В то же время следует помнить, что информация, относящаяся к персональным данным, по своей сути неоднородна. Так, в их структуре можно выделить номинативную информацию и иную информацию.
Информация бывает разной
Номинативная информация — это информация, которая позволяет провести идентификацию конкретного лица. К ней относятся фамилия, имя, отчество, пол, серия и номер паспорта, дата и место рождения и т. п. Для идентификации человека обычно требуется наличие значительной части номинативной информации, так как отдельные ее элементы позволяют провести идентификацию далеко не всегда. Так, правовым средством, индивидуализирующим человека как субъекта правоотношений, является его имя (ст. 19 ГК РФ). Однако для идентификации этого явно недостаточно хотя бы потому, что носитель определенного имени не может запретить другому лицу носить такое же имя. Еще 70 лет назад Е. Флейшиц указывала, что использование распространенной фамилии само по себе уже не служит средством индивидуализации ее носителя <6>. ——————————— <6> Флейшиц Е. А. Личные права в гражданском праве Союза ССР и капиталистических стран // Ученые труды Всесоюзного института юридических наук НКЮ СССР. М., 1941. Вып. VI.
Ряд авторов в качестве дополнительных средств индивидуализации называют место жительства лица <7>. ——————————— <7> Гражданское право: Учебник: В 3 т. / Отв. ред. А. П. Сергеев, Ю. К. Толстой. М.: ТК Велби; Проспект, 2006. Т. 1.
Статья 8 Конвенции о правах ребенка к средствам индивидуализации относит еще гражданство и семейные связи. Но, как показывает практика, такие традиционные средства индивидуализации не способны в необходимой мере осуществлять свои функции. Но в некоторых случаях даже косвенных данных бывает достаточно, чтобы произвести идентификацию личности. Хотя номинативная информация включается в состав персональных данных, само по себе ее распространение обычно не может причинить ущерба гражданину (хотя, конечно, бывают исключения). Распространение только неноминативной информации также не причиняет ущерба в тех случаях, когда идентификацию произвести невозможно. К таковой информации относятся, например: сведения о доходах, месте работы, политических убеждениях, интимной жизни, медицинских заболеваниях, наличии судимости и т. п. Наибольшую опасность представляют ситуации, когда неноминативная информация о гражданах распространяется одновременно с номинативной или иной, позволяющей произвести идентификацию первой. Распространение некоторых видов информации, относящейся к персональным данным, «не столько наносит ущерб личности, сколько создает возможность для причинения ущерба» <8>. Так, распространение информации о заболеваниях или сексуальной ориентации человека может быть неприятно ему само по себе, а, например, о доходах или об имуществе лица — создает возможность использования этой информации третьими лицами в противоправных целях. ——————————— <8> Цадыкова Э. А. Гарантии охраны и защиты персональных данных человека и гражданина // Конституционное и муниципальное право. 2007. N 14.
Особо чувствительные данные
Наличие различных категорий персональных данных частично учтено законодателем. Так, Закон N 152-ФЗ среди всего массива относящейся к личности информации выделяет: — специальные категории персональных данных; — сведения о судимости; — биометрические персональные данные. Обработка этих видов персональных данных подчиняется особым правилам. Совокупность таких данных в научной литературе именуется как «особо чувствительные персональные данные». В. Иванский отмечает, что содержание «особо чувствительных» персональных данных зависит от национального менталитета, но в основном к данной категории относятся данные о расовом и этническом происхождении личности, о религиозных предпочтениях, политических убеждениях, членстве в профессиональных ассоциациях, политических и об иных общественных организациях, о состоянии здоровья, об особенностях сексуального поведения, о вынесенных и исполненных судебных приговорах по уголовным делам <9>. ——————————— <9> Иванский В. П. Правовая защита информации о частной жизни: Опыт современного правового регулирования. М., 1999.
В соответствии с Законом N 152-ФЗ общедоступные персональные данные, ставшие таковыми с согласия субъекта персональных данных, не нуждаются, по мнению законодателя, в дальнейшей правовой защите, в том числе и в защите их конфиденциальности. Это положение подверглось критике некоторыми авторами. Так, Н. Петрыкина указывала, что «непонятно, как эта норма будет реализовываться на практике. Каким образом операторы или иные лица смогут в рамках одной автоматизированной или неавтоматизированной информационной системы обеспечивать защиту конфиденциальности одних персональных данных и не применять меры защиты в отношении других? Создание же незащищенных автоматизированных или неавтоматизированных информационных систем (ведь действие Закона в некоторых случаях распространяется и на неавтоматизированные массивы данных) персональных данных противоречит общему смыслу Федерального закона «О персональных данных». Кроме того, дальнейшее использование общедоступных персональных данных без согласия субъекта персональных данных для иных целей, кроме тех, ради которых они были обнародованы, противоречит важнейшему установленному в ст. 6 Закона условию согласия субъекта персональных данных на обработку его персональных данных» <10>. ——————————— <10> Петрыкина Н. И. К вопросу о конфиденциальности персональных данных // Законы России: опыт, анализ, практика. 2007. N 6.
Мы хотим обратить внимание еще на одну проблему: как быть, если субъект персональных данных сначала разгласил свои данные (сделал их общедоступными), а затем вновь скрыл? Например, гражданин разместил достаточно подробную информацию о себе на одном из популярных сайтов в сети Интернет, а затем удалил ее. Может ли эта информация в дальнейшем свободно распространяться иными лицами? Логика подсказывает, что да. Однако здесь может возникнуть следующая проблема: в соответствии с ч. 3 ст. 9 Закона N 152-ФЗ обязанность представить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора. Учитывая, что действующее российское законодательство, к сожалению, не содержит четких правил доказывания фактов размещения информации в сети Интернет (в тех случаях, если эта информация впоследствии удаляется), в решении данного вопроса могут возникнуть проблемы. На наш взгляд, необходима законодательная проработка этих вопросов. Во-первых, требуется четкая правовая регламентация всех случаев, в которых гражданин при размещении своих персональных данных автоматически дает согласие на их использование третьими лицами. Во-вторых, необходимо нормативно установить перечень ситуаций, когда на использование тех или иных сведений требуется обязательное согласие лица, их разместившего, а также зафиксировать формы такого согласия (подтверждения). В-третьих, необходимо усилить контроль за деятельностью лиц и организаций, которые вправе совершать операции с таким видом информации.
——————————————————————