Конфиденциальная информация и институт персональных данных в банковской деятельности
(Палехова Е. А.) («Предпринимательское право», 2010, N 3)
КОНФИДЕНЦИАЛЬНАЯ ИНФОРМАЦИЯ И ИНСТИТУТ ПЕРСОНАЛЬНЫХ ДАННЫХ В БАНКОВСКОЙ ДЕЯТЕЛЬНОСТИ
Е. А. ПАЛЕХОВА
Палехова Екатерина Алексеевна, соискатель кафедры предпринимательского права юридического факультета МГУ им. М. В. Ломоносова.
Правовое регулирование сбора и обработки персональных данных основывается на неприкосновенности частной жизни как базового конституционного принципа. В статье показано, как конфиденциальный режим персональных данных соотносится с информацией ограниченного доступа, используемой в банковской деятельности.
Ключевые слова: информация, конфиденциальность, персональные данные, банковская тайна, коммерческая тайна, ответственность.
Personal Data in Credit System: Legal Issues E. A. Palekhova
Legal regulation of collection and processing of personal data is based on inviolability of private life as a fundamental constitutional principle. The article shows how confidential regime of personal data correlates with information of limited access used in bank activity.
Key words: information, confidentiality, personal data, bank secret, commercial secret, responsibility.
Экономический кризис обозначил новый виток нарушений основных принципов частной жизни, связанных с неприкосновенностью личной жизни физического лица. При этом данные нарушения прав человека проявились в различных сферах деятельности. В таких областях, как банковская деятельность, нарушения принципов частной жизни не только являются угрозой для каждого отдельного клиента банка, но и подвергают опасности устойчивость всей банковской системы, зависящей во многом от доверия клиентов к кредитным организациям. Конституционно-правовое признание прав и свобод человека и гражданина предопределило обязанность юридических лиц, государственных и муниципальных органов по соблюдению конфиденциальности информации, составляющей персональные данные физического лица. В Конституции РФ закрепляется неприкосновенность частной жизни, личной и семейной тайны, защита чести и доброго имени (ст. 23 Конституции РФ); установлено, что хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются (ст. 24 Конституции РФ). Как отмечается в правовой литературе, к тайне личной жизни отнесены тайна вкладов в кредитных организациях <1>; сведения о материальном положении человека, которые могут являться частью личной или семейной тайны <2>, и др. К личной тайне можно отнести данные об особенностях личности, привычках, интересах, а к семейной — сведения о взаимоотношениях между членами семьи, которые могут повлиять на идентификацию личности. В целом к персональным данным можно отнести любые сведения о фактах, событиях и иных обстоятельствах жизни и деятельности физического лица, посредством которых возможно идентифицировать его личность <3>. ——————————— <1> Гражданское право: Учебник / Под ред. Е. А. Суханова. М., 2004. Т. 1. С. 143 — 144, 146 — 147 и др. <2> Викулин А. Ю. Системообразующие понятия банковского законодательства и их роль в деятельности кредитных организаций: финансово-правовой аспект: Дис. … канд. юрид. наук. М., 1997. С. 101; Лисицина Н. В. Банковская тайна как объект правового регулирования: Дис. … канд. юрид. наук. М., 2003. С. 62. <3> Похожая точка зрения содержится в работе А. Н. Анисимова, посвященной правовой защите персональных данных работника. См., напр.: Анисимов А. Н. Правовая защита персональных данных работника // Трудовое право. 2003. N 9. С. 31.
В 2006 г. был принят Федеральный закон N 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) <4>, имеющий в том числе целью реализацию норм ратифицированной Российской Федерацией 19 декабря 2005 г. Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» <5>. ——————————— <4> СЗ РФ. 2006. N 31 (ч. 1). Ст. 3451. <5> Федеральный закон от 19 декабря 2005 г. N 160-ФЗ «О ратификации Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» был принят Государственной Думой РФ 25 ноября 2005 г. и подписан Президентом РФ в декабре 2005 г. // СЗ РФ. 2005. N 52 (ч. 1). Ст. 5573.
В п. 1 ст. 3 названного выше Закона дается определение персональных данных как любой информации, относящейся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Следует также отметить, что отношения, связанные с персональными данными, регулируются главой 14 Трудового кодекса Российской Федерации (далее — ТК РФ). Статья 85 ТК РФ определяет персональные данные работника как информацию, необходимую работодателю в связи с трудовыми отношениями и касающуюся конкретного работника. В трудовых отношениях работодатель и его представители соблюдают общие требования по обработке персональных данных работника на основании действующего законодательства РФ, содействуют работникам в трудоустройстве, участвуют в процессе обучения и продвижения по службе, обеспечивают личную безопасность работников и т. п. (п. 1 ст. 86 ТК РФ). Формирование института персональных данных стало необходимым вследствие развития информационных технологий, всеобщего использования сведений о частной жизни, вмешательства в личную жизнь гражданина. Исходя из общетеоретического определения института права, представляется возможным сделать вывод о том, что в настоящее время сформировалась совокупность правовых норм, регулирующих персональные данные физического лица и подпадающих под определение института права <6>, и относится она, по нашему мнению, к правовому межотраслевому институту — институту персональных данных. ——————————— —————————————————————— КонсультантПлюс: примечание. Учебник Н. И. Матузова, А. В. Малько «Теория государства и права» включен в информационный банк согласно публикации — Юристъ, 2004. —————————————————————— <6> См., напр.: Матузов Н. И., Малько А. В. Теория государства и права. М., 2007. С. 315 — 316.
Нельзя не учитывать влияние сформировавшегося института на лиц, в том числе осуществляющих предпринимательскую деятельность, вовлеченных в получение, обработку персональных данных, обязанных осуществлять защиту персональных данных от неправомерного или случайного доступа к ним <7>. ——————————— <7> По мнению В. О. Калятина, в некоторых странах определенная информация о юридических лицах может приравниваться к информации о гражданах и рассматриваться как «персональные данные» (см., например, ирландский Закон «Act Concerning the Registration and Personal Data», однако такой подход не является общепринятым. См.: Калятин В. О. Персональные данные в Интернете // Журнал российского права. 2002. N 5. С. 77 — 86.
Персональные данные физического лица являются сложным объектом, что подтверждается фактом правового регулирования данного института нормативными правовыми актами разной отраслевой принадлежности с использованием нескольких режимов информации ограниченного доступа. На основе передачи информации или предоставления данных (сведений, сообщений) формируются информационные отношения, в которых участвуют как минимум две стороны: сторона, обладающая информацией, и сторона, заинтересованная в ее получении. Закон о персональных данных определяет участников указанных отношений — это субъект персональных данных и оператор по обработке персональных данных. Согласно ст. 9 Закона о персональных данных, сведения о субъекте персональных данных предоставляются оператору с письменного согласия обладателя, а их распространение возможно только с согласия субъекта персональных данных. Под конфиденциальностью персональных данных понимается обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требований не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания. В Законе о персональных данных предусмотрены меры по сохранению персональных данных, защите их конфиденциальности, возлагая на оператора персональных данных обязанность применения шифровальных (криптографических) средств для недопущения неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий (ст. 19 Закона о персональных данных). Вместе с тем конфиденциальность сведений персонального характера не требуется в следующих случаях: обезличивания персональных данных (действий, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных), в отношении общедоступных персональных данных (персональные сведения, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности). Таким образом, для субъекта персональных данных целью обеспечения конфиденциальности его персональных данных будет являться невозможность его идентифицировать, а для оператора — выполнение обязанности по обеспечению конфиденциальности персональных данных, и, как следствие, возможности избежать ответственности. Для того чтобы определить место данного института в системе права, следует исследовать положения, касающиеся понятия информации, и соотношения категорий «информация» и «персональные данные». В ст. 2 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее — Закон об информации) <8> под информацией понимаются сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. ——————————— <8> СЗ РФ. 2006. N 31 (ч. 1). Ст. 3451.
Закон об информации регулирует отношения, возникающие при формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации; создании и использовании информационных технологий и средств их обеспечения; защиты информации. Согласно вышеназванному Закону, информация в зависимости от степени доступа классифицируется на общедоступную информацию и информацию с ограниченным доступом — конфиденциальную информацию. Информация с ограниченным доступом основывается на соблюдении интересов юридического или физического лица вне зависимости от того, используют ли указанные субъекты конфиденциальную информацию в предпринимательской деятельности. Представляется, что среди выделяемых признаков информации с ограниченным доступом наиболее важными являются следующие: неизвестность широкому кругу лиц; особый субъектный состав; принятие обладателем информации мер, направленных на ограничение свободного доступа третьим лицам; действительная или потенциальная коммерческая ценность; наличие ограничения, установленного законодательством РФ. Ограничение доступа к информации, установленное законодателем, основывается на понятии конфиденциальности <9>. Представляется, что именно конфиденциальность является одним из определяющих признаков наличия ограниченного режима информации. Но ограничение доступа к информации не приводит к главной цели — защите информации, обеспечению ее конфиденциальности. Поэтому в российском законодательстве к информации с ограниченным доступом относят также различные виды тайн. ——————————— <9> Confidential в переводе с английского означает «конфиденциальный, доверительный, личный, тайный».
Л. Е. Владимиров, изучая понятие тайны, предложил следующее ее определение: «…сохранение в негласности обстоятельства, разглашение которого принесло бы больше вреда, чем пользы» <10>. Однако, по нашему мнению, понятие информации с ограниченным доступом является более широким, чем понятие «тайна». ——————————— <10> Владимиров Л. Е. Учение об уголовных доказательствах. Тула, 2000. С. 304; Пилипенко Ю. С. под тайной понимает правовое явление, представляющее собой правомерное запрещение доступа к информации, несанкционированное получение, а также разглашение или иное использование которой может нанести ущерб участникам правоотношений по поводу тайны. См.: Пилипенко Ю. С. Общие теоретические аспекты института тайны // Государство и право. 2009. N 7. С. 24.
К информации с ограниченным доступом относятся следующие правовые режимы: личная, семейная, государственная, коммерческая, профессиональная, служебная, банковская тайна; инсайдерская информация и персональные данные. При этом следует отметить, что правовой режим персональных данных взаимодействует и взаимосвязан со всеми видами тайны, благодаря чему можно говорить о наличии такого явления, как «тайна в тайне». По существу, режим персональных данных представляет собой неоднородный по своему составу объект правового регулирования. Режим персональных данных не заменяет правовой режим, например, банковской или коммерческой тайны, а дополняет его. Использование института персональных данных осуществляется в различных областях, однако, по нашему мнению, наиболее интересным представляется рассмотрение персональных данных в банковской системе. Правовой режим персональных данных широко используется при осуществлении банковских операций и сделок в банковской деятельности. Вне сомнения, личная и семейная тайна занимают одно из центральных мест в демократическом правовом государстве <11>. Как отмечает в своем исследовании Р. А. Майоров, каждый клиент банка, независимо от того, физическое это лицо или юридическое, должен знать, что сведения, касающиеся его, его счета или вклада, операций по счету или вкладу, должны быть тайной для всех, кроме строго ограниченного круга лиц, которым закон предоставил право знать о тайне его счета или вклада и требовать предоставления этих сведений <12>. И в данном случае затрагивается тайна жизни физического лица, т. е. для клиента эта информация является личной тайной, семейной тайной или же тайной иных (финансовых) сообщений, право на которые гарантировано Конституцией РФ (ст. ст. 23, 34, 37) <13>. ——————————— <11> Пилипенко Ю. С. Общие теоретические аспекты института тайны // Государство и право. Июль. 2009. N 7. С. 24. <12> Майоров Р. А. Институт банковской тайны: понятие и проблемы его практического применения // Гражданское право. 2008. N 2. С. 38, 39. <13> Кайнов В. И., Кайнова Ю. В. Субъекты банковской тайны // Научные труды РАЮН. Вып. 6. М., 2006. Т. 2. С. 559.
Таким образом, для кредитной организации правовой режим банковской тайны дополняется правовым режимом персональных данных на основании ст. 26 «Банковская тайна» Федерального закона от 2 декабря 1990 г. N 395-1 «О банках и банковской деятельности» <14>. В абзаце 4 указанной выше статьи предусмотрено, что справки по счетам и вкладам физических лиц выдаются кредитной организацией им самим, судам, органам принудительного исполнения судебных актов, актов других органов и должностных лиц, организации, осуществляющей функции по обязательному страхованию вкладов, при наступлении страховых случаев, органам предварительного следствия. Кроме того, ст. 857 Гражданского кодекса Российской Федерации <15> устанавливает, что сведения, составляющие банковскую тайну, предоставляются самим клиентам, их представителям, в бюро кредитных историй, государственным органам и их должностным лицам. ——————————— <14> Федеральный закон от 2 декабря 1990 г. N 395-1 «О банках и банковской деятельности» (с изм. и доп. от 08.05.2010 N 83-ФЗ) // СЗ РФ. 2010. N 19. Ст. 2291. <15> Гражданский кодекс Российской Федерации (часть вторая) от 26 января 1996 г. N 14-ФЗ (с изм. и доп. от 17 июля 2009 г. N 145-ФЗ) // СЗ РФ. 2009. N 29. Ст. 3582.
Очевидно, что правовой режим банковской тайны тесно взаимосвязан с правовым режимом персональных данных. Однако следует учесть, что императивное дозволение законодателя на предоставление сведений, составляющих банковскую тайну вышеперечисленным органам, в определенной степени ограничивает правовой режим конфиденциальности персональных данных. В данном случае следует учитывать, что согласно п. 4 ч. 2 ст. 1 Закона о персональных данных сведения, относящиеся к государственной тайне, действием Закона не охватываются. В Перечне сведений, относящихся к государственной тайне, Банк России отнесен к организациям, наделенным полномочиями по распоряжению сведениями, относящимися к государственной тайне (п. п. 79 — 82) <16>. Вполне возможно, что ограничение правового режима конфиденциальности персональных данных основывается на особом субъектном составе банковской системы, в которой наличествуют два уровня: Банк России и кредитные организации (также филиалы и представительства иностранных банков) (ч. 1 ст. 2 Закона о банках). Перечень субъектов банковской системы в указанной выше статье не является исчерпывающим. Сюда же можно отнести также союзы и ассоциации, банковские группы и банковские холдинги <17>. К деятельности указанных субъектов относится использование правового режима банковской тайны. При этом персональные данные субъектов персональных данных при их предоставлении трансформируются в правовой режим банковской тайны и становятся одной из составляющих банковской тайны, как для субъекта банковской системы, так и для обладателя персональных данных. Ведь, как уже упоминалось, согласно Закону о персональных данных его действие не распространяется на банковскую деятельность. Наличие правового режима банковской тайны и правового режима персональных данных в банковской системе РФ предопределяет необходимость изучения перечисленных субъектов банковской системы и иных участников инфраструктуры, которые непосредственно взаимодействуют с субъектами, непосредственно осуществляющими банковскую деятельность. ——————————— <16> Указ Президента РФ от 30.11.1995 N 1203 (с изм. и доп. от 30.09.2009 г. N 1008) «Об утверждении Перечня сведений, отнесенных к государственной тайне» // СЗ РФ. 2009. N 40 (ч. 2). Ст. 4684. <17> См.: ст. ст. 3, 4 Закона о банках, в которых указываются, к примеру: защита и представление интересов своих членов, координации их деятельности, развитие межрегиональных и международных связей, удовлетворение научных, информационных и профессиональных интересов, выработка рекомендаций по осуществлению банковской деятельности, уведомление Банка России о своем создании (ст. 3); возможность прямо или косвенно оказывать существенное влияние на решения, принимаемые кредитной организацией (ст. 4). В этих случаях становится совершенно ясно, что деятельность данных организаций также тесно связана с информационной составляющей или может являться технологией управления для удовлетворения существующих интересов.
Следует отметить, что Банк России является органом банковского регулирования и надзора за деятельностью кредитных организаций. Действующий на постоянной основе орган Банка России, осуществляющий регулирующие и надзорные функции, направленные на поддержание стабильности банковской системы РФ и защиты интересов вкладчиков, именуется Комитетом банковского надзора (ст. 56 Федерального закона от 10 июля 2002 г. N 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» <18>, далее — Закон о Банке России). К компетенции Комитета относятся вопросы, связанные с осуществлением: регулирующих и надзорных функций Банка России, в том числе с совершенствованием методологии банковского надзора и регулирования деятельности кредитных организаций; отдельных функций Банка России в области валютного регулирования и валютного контроля; иных функций, возложенных на Комитет законодательством <19>. Данная особенность получила свое выражение в Законе о персональных данных, который относит Банк России к организациям, имеющим доступ к государственной тайне. Представляется, что данное исключение не говорит о неиспользовании персональных данных в банковской деятельности, а прямо относит правовой режим персональных данных к банковской тайне, как специальному режиму. ——————————— <18> Федеральный закон от 10 июля 2002 г. N 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» (с изм. и доп. от 25.11.2009 N 281-ФЗ) // СЗ РФ. 2009. N 48. Ст. 5731. <19> Положение совета директоров Центрального банка Российской Федерации от 10 августа 2004 г., Протокол N 21 (с изм. и доп. от 26.03.2007. Протокол N 6) // ВБР. 03.05.2007. N 24.
Вместе с тем Банк России устанавливает для кредитных организаций и банковских групп императивные (обязательные) правила проведения банковских операций, бухгалтерского учета и отчетности, организации внутреннего контроля и иной информации (ст. 57 Закона о Банке России). Следует обратить внимание на организацию внутреннего контроля в кредитных организациях и банковских группах. Например, в Положении от 16 декабря 2003 г. N 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» <20> устанавливается, что внутренний контроль осуществляется в целях достоверности, полноты, объективности и своевременности составления и представления финансовой, бухгалтерской, статистической и иной отчетности (для внешних и внутренних пользователей), а также информационной безопасности (защищенности интересов (целей) кредитной организации в информационной сфере, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений). То есть внутренний контроль кредитной организации или банковской группы направлен на управление информационными потоками (получение и передача информации); обеспечение информационной безопасности; распределение полномочий между различными подразделениями организации и ее служащими; соблюдение порядка совершения банковских операций и информирование руководителей о выявленных нарушениях, ошибках или недостатках. Таким образом, информационные отношения можно представить как отношения с участием: ——————————— <20> Положение от 16 декабря 2003 г. N 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» (с изм. и доп. от 5 марта 2009 г. N 2194-У) // ВБР. 01.04.2009. N 21.
— Центрального банка Российской Федерации; — уполномоченных органов (участников инфраструктуры); — кредитной организации; — вкладчика, кредитора (контрагента). С одной стороны, контрагент, доверительно передавая персональные данные кредитной организации, должен предполагать возможность передачи персональных данных и Банку России. С другой стороны, персональные данные могут быть разглашены и на стадии предоставления их кредитной организации, например при технологическом сбое информационной системы или иных нарушениях служащими кредитных организаций. Таким образом, указанные участники информационных правоотношений находятся в неравном юридическом положении, и остается только догадываться, на какой стадии могут быть разглашены персональные данные физического лица или в какой момент может пострадать деловая репутация кредитной организации (банковской группы). В банковской деятельности существуют также и такие участники, которые являются частью инфраструктуры банковской деятельности: физические и юридические лица; компетентные органы, обеспечивающие и создающие условия для нормального функционирования банковской деятельности. К компетентным органам можно отнести Агентство по страхованию вкладов, Финансовую службу по финансовым рынкам, кредитные бюро <21> и иных субъектов инфраструктуры банковской системы, которые могут обращаться с запросами в кредитные организации. Например, в Гражданском кодексе РФ прямо установлено, что сведения, составляющие банковскую тайну, могут быть предоставлены в бюро кредитных историй (ч. 2 ст. 857 ГК РФ). То есть становится совершенно ясно, что правовой режим персональных данных является самостоятельным режимом конфиденциальной информации и пересекается с иными правовыми режимами информации с ограниченным доступом. ——————————— <21> В ст. 1 Федерального закона от 30 декабря 2004 г. N 218-ФЗ «О кредитных историях» отсутствует упоминание о Центральном каталоге кредитных историй (далее — ЦККИ). Это можно было бы объяснить тем, что ЦККИ является не юридическим лицом, а структурным подразделением Банка России (п. 8 ст. 3 Закона о кредитных историях) и поэтому не обладает автономной правосубъектностью. См., напр.: Алексеева Д. Г., Пыхтин С. В., Фальковская Я. М. Комментарий к Федеральному закону «О кредитных историях». М., 2006 // СПС «КонсультантПлюс»; Федеральный закон от 30 декабря 2004 г. N 218-ФЗ «О кредитных историях» (с изм. и доп. от 24 июля 2007 г. N 214-ФЗ) // СЗ РФ. 2007. N 31. Ст. 4011.
Представление информации компетентным органам может поставить под сомнение конфиденциальную информацию с ограниченным доступом, определяемую правовым режимом персональных данных. Соблюдение публичных интересов, вне сомнения, является значимым условием для функционирования рыночной экономики и для государства в целом, но при этом, как уже отмечалось, могут нарушаться права юридических и физических лиц. В некоторых странах Европы, характеризуя информационную прозрачность сведений о личной жизни граждан для органов власти и управления, крупных государственных и частных корпораций, стали использовать специальный термин — «стеклянные люди» <22>. ——————————— <22> См., напр.: Никитин Е. А., Тимошенко А. А. К вопросу о правовой природе персональных данных работника // Журнал российского права. 2006. N 7. С. 42 — 53; Козлова Н. Стеклянные люди // РГ. 2001. 28 июня.
Представляется, что существующее взаимодействие в рамках действующих правовых норм банковской тайны и персональных данных, не позволяет говорить в полной мере о конфиденциальности персональных данных. Нельзя не учитывать и пересечение правовых режимов персональных данных, служебной и профессиональной тайны. Статья 26 Закона о банках и банковской деятельности предусматривает, что служащие кредитной организации обязаны хранить тайну об операциях, счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией. Таким образом, для кредитной организации в отношении указанных выше сведений применяется режим банковской тайны, для сотрудников кредитной организации — правовой режим служебной тайны и профессиональной тайны. Кроме того, правовой режим служебной тайны находится в тесной взаимосвязи с правовым режимом инсайдерской информации, под которой понимается необщедоступная важная информация о компании, которая стала известна определенному лицу в силу его служебного положения, управленческих полномочий или иных особых отношений с компанией <23>. В настоящее время понятия «инсайдерская информация», «инсайдер» не получили законодательного закрепления в Российской Федерации. Правовой режим инсайдерской информации установлен в законодательстве зарубежных стран, и этот опыт начинает использоваться в России. По нашему мнению, к инсайдерам относятся лица, занимающие руководящие посты и имеющие доступ к информации с ограниченным доступом; лица, обладающие информацией в связи с их профессиональной деятельностью. ——————————— <23> Проект ФЗ «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком» N 145626-5 // СПС «КонсультантПлюс».
Конечно, нельзя не учитывать и доводы практиков о значимости правового регулирования деятельности инсайдеров (инсайдерской информации); например, Р. Р. Галямов отмечает следующее: «…именно легальный пользователь-инсайдер точно знает, где находится наиболее ценная информация и для кого она может представить интерес на рынке. А при угрозе сокращения опрошенные служащие готовы пренебречь этическими нормами — 71% точно будут использовать на новом месте работы конфиденциальные данные прежнего работодателя (клиентские базы, контактная информация, планы и предложения, пароли, коды доступа)» <24>. Рассматривая правовой режим инсайдерской информации, можно говорить о ее соотношении с правовыми режимами персональных данных, банковской тайны. Учитывая, что инсайдерская информация содержит в себе сведения (сообщения, данные) о финансовых инструментах эмитента, представляется, что она имеет непосредственное отношение к кредитным организациям. ——————————— <24> Галямов Р. Р. Информационная безопасность — фактор обеспечения конкурентных преимуществ // Управление в кредитной организации. 2009. N 3; СПС «КонсультантПлюс».
Сведения, составляющие инсайдерскую информацию, обладают коммерческой ценностью. Информация, обладающая коммерческой ценностью, относится к правовому режиму коммерческой тайны и обладает тремя признаками: коммерческая ценность информации и неизвестность ее третьим лицам; отсутствие доступа на законном основании; меры по охране конфиденциальности информации. Режим коммерческой тайны в кредитной организации обеспечивается путем принятия правовых, организационных и технических мер, предусмотренных политикой правовой безопасности, к которым, по нашему мнению, можно отнести: — определение перечня информации, составляющей коммерческую тайну; — ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка; — учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана; — регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании договоров; — нанесение на материальные носители (документы), содержащие информацию, составляющие коммерческую тайну, грифа «Коммерческая тайна» с указанием обладателя этой информации; — и другие меры, которые не противоречат законодательству Российской Федерации. Сведения о клиентах представляют коммерческую ценность для кредитной организации. Обеспечение конфиденциальности сведений о персональных данных клиентов предполагает возможность предоставления кредитной организацией наилучших условий в сфере банковской деятельности, т. е. конкурентные преимущества. Очевидно, что для конкурентов (иных кредитных организаций) данные сведения представляют особый экономический интерес. Ведь персональные данные, а вслед за ним и дело вая репутация могут быть утеряны, а факт их восстановления потребует времени, сил и денежных затрат. Таким образом, можно говорить о пересечении правового режима персональных данных с иными правовыми режимами конфиденциальной информации. По нашему мнению, правовой режим банковской тайны дополняется правовым режимом персональных данных. Сведения, составляющие банковскую тайну, включают в себя ряд сведений, составляющих персональные данные. Вследствие этого представляется логичным расширительное толкование института банковской тайны, понятия банковской информации. Ведь, с одной стороны, персональные данные физического лица являются отражением частной жизни индивида, неприкосновенность которого охраняется законом. С другой стороны, персональные данные представляют собой своеобразную визитную карточку индивида в обществе и являются юридической основой для реализации его праводееспособности <25>. Несомненно, что для кредитной организации персональные данные представляют собой коммерческую ценность, а обеспечение конфиденциальности сведений, составляющих коммерческую тайну, является одним из способов достижения поставленной цели — получения прибыли. ——————————— <25> Петрыкина Н. И. К вопросу о конфиденциальности персональных данных // Законы России: опыт, анализ, практика. 2007. N 5; СПС «КонсультантПлюс».
Небезынтересным как в теоретическом, так и в практическом аспекте является вопрос об ответственности за нарушение положений, содержащих нормы о персональных данных. Как отмечает О. С. Соколова, практически во всех нормативных актах, затрагивающих вопросы правового режима персональных данных, имеются общие положения об ответственности должностных и иных лиц, владеющих персональными данными, за нарушение режима ограниченного доступа и конфиденциальности в отношении такой информации <26>. ——————————— <26> Соколова О. С. Персональные данные как информация ограниченного доступа: проблемы правового регулирования // Современное право. 2004. N 2. С. 18 — 21.
В ст. 24 Закона о персональных данных предусматриваются меры ответственности за нарушение требований данного Закона в виде гражданской (ст. ст. 12, 14 и др.), уголовной (ст. ст. 137, 140, 272 УК РФ), административной (ст. 13.11 КоАП РФ), дисциплинарной (ст. 81 ТК РФ) и иной предусмотренной законодательством Российской Федерации ответственности. Установление мер ответственности за неправомерное использование персональных данных является необходимым условием, препятствующим их использованию с целью необоснованного получения кредита, открытия банковского счета, что может нанести существенный ущерб как субъекту персональных данных, так и «оператору» <27>. ——————————— <27> Под оператором в данном случае понимается сотрудник (должностное лицо, служащий) как кредитной организации, так и государственного (муниципального) органа, который может нанести ущерб как себе, так и кредитной организации в целом.
Согласно Закону о персональных данных меры ответственности за незаконное распространение персональных данных в большей степени распространяются на оператора персональных данных, а не на субъекта персональных данных. Например, если субъект персональных данных опубликовывает персонифицирующие его сведения, данное действие правообладателя не снимает с оператора персональных данных обязанности по обеспечению безопасности персональных данных. Но, по мнению законодателя, конфиденциальность персональных данных должна быть соблюдена и в этом случае. Помимо этого, необходимо определить и ответственность субъекта персональных данных в том случае, когда действие (бездействие) обладателя персональных данных по распространению личных сведений может повысить риски кредитных организаций. И данные положения следует учитывать при заключении договора между кредитной организацией и клиентом. Закон о персональных данных пока не разрешил всех юридических задач в регулировании отношений, возникающих в связи с персональными данными. Например, в кредитных организациях используются автоматизированные банковские системы, информационные технологии <28>, которые оказались не до конца разработанными на момент принятия указанного Закона, тем не менее для кредитных организаций он начнет свое действие с 1 января 2011 г. И, скорее всего, участники банковской системы могут столкнуться с такими рисками, как: ——————————— <28> На данный момент вступило в силу Постановление от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» // СЗ РФ. 2007. N 48 (ч. 1). Ст. 6001.
— технологические нарушения информационных систем (внутренняя банковская информация); — организационные правонарушения (внутренняя банковская информация); — незаконная обработка данных (как внешняя, так и внутренняя банковская информация); — взлом и утечка персональных данных (внешняя банковская информация) и многое другое. Указанные проблемы, вне сомнения, затронут не только банковскую систему <29>, но и права и законные интересы физических лиц. ——————————— <29> По расчетам ЦБ РФ, затраты на выполнение ЗоПД в нынешней редакции составят около 6% от доходной части бюджета страны. Информационные системы персональных данных приводятся в законодательное соответствие не позднее 1 января 2011 г.
Следует отметить, что на сегодняшний день не совсем ясен порядок реализации отдельных норм Федерального закона «О персональных данных». Например, информационные системы персональных данных должны быть приведены в соответствие с требованиями Закона о персональных данных в срок не позднее 1 января 2011 г. (п. 3 ст. 25 Закона о персональных данных). Упомянутые требования содержат в себе подтверждение соответствия (в частности, сертификацию) систем персональных данных, а также лицензирование соответствующих видов деятельности (в том числе получение лицензии Федеральной службы по техническому и экспортному контролю (ФСТЭК) России на осуществление деятельности по технической защите конфиденциальной информации) <30>. Очевидно, что вопрос о полном вступлении указанного Закона до сих пор является открытым, в части продления срока, в течение которого информационные системы подлежат приведению в соответствие с Законом о персональных данных <31>. ——————————— <30> Информационное письмо N 106. Материал подготовлен с использованием правовых актов по состоянию на 14 января 2010 г. // СПС «КонсультантПлюс». <31> Проект Федерального закона N 262191-5 «О внесении изменений в ст. 25 Федерального закона «О персональных данных» (в части продления срока, в течение которого ранее созданные информационные системы персональных данных подлежат приведению в соответствие с Федеральным законом «О персональных данных»).
В Законе о персональных данных отсутствуют специальные правила, направленные на защиту прав и законных интересов кредитных организаций <32>. По нашему мнению, требуют совершенствования положения в Законе о персональных данных о субсидиарной ответственности лиц, имеющих доступ к персональным данным в кредитной организации. ——————————— <32> В ст. 19 Закона о персональных данных устанавливаются меры по обеспечению персональных данных при их обработке, такие как организационные, технические, использование шифровальных средств. Но данные меры являются общими.
Думается, что в настоящее время использование различных видов конфиденциальной информации приводит к возникновению новых правовых проблем. Следует отметить, что в действующем Законе о персональных данных отсутствует система гарантий прав и законных интересов физических и юридических лиц. Механизм гарантий должен включать в себя систему мер, направленных на ограничение круга лиц, имеющих доступ к персональным данным, ужесточение ответственности за предоставление персональных данных. Правовые вопросы о защите интересов субъектов различного уровня, использующих конфиденциальную информацию, безопасности информации все более начинают превалировать в дискуссиях о праве на информацию с ограниченным доступом и ее использование.
——————————————————————