УДК 340.132.1
А. А. Коврижных
ПЕРСОНАЛЬНЫЕ ДАННЫЕ КАК ОБЪЕКТ ПРАВОВОЙ ОХРАНЫ*
В статье рассматриваются существующие проблемы обеспечения конституционного права на неприкосновенность частной жизни, личную и семейную тайну при обработке персональных данных. Анализируются нормативные предписания действующего законодательства о персональных данных на предмет его соответствия существующим общественным отношениям в сфере обработки персональных данных, выявляются пробелы правового регулирования отношений в этой сфере.
The article studies the actual problems of ensuring the constitutional right to inviolability of privacy, personal and family secrets while processing personal data. The author analyses regulatory directions of the legislation in force concerning personal data whether it corresponds to the existing social relations while processing personal data. The author points out the loopholes of legal regulations of the relations in this sphere.
Ключевые слова: информационное законодательство, персональные данные, обработка персональных данных, оператор, информационная система персональных данных.
Keywords: information legislation, personal data, processing of personal data, operator, information system ofpersonal data.
В контексте повсеместной автоматизированной обработки информации о физических лицах как никогда актуальными становятся вопросы соблюдения конституционного права на неприкосновенность частной жизни, личную и семейную тайну.
25 ноября 2005 г. Государственной Думой принят федеральный закон № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» (далее — Конвенция) [1]. В связи с ратификацией Конвенции основные принципы защиты данных, определенные в этом международном акте, должны быть отражены в национальном законодательстве Российской Федерации.
Общественные отношения в сфере обработки персональных данных в настоящее время регулируют нормы специального закона — федерального закона от 27 июля 2006 г. № 152-ФЗ (ред. от 25 июля 2011 г.) «О персональных данных»
* Исследование выполнено при финансовой поддержке фонда научных исследований Института (филиала) МГЮА имени О. Е. Кутафина в г. Кирове, проект № 09/11(5).
© Коврижных Л. А., 2011
(далее — Закон о персональных данных), а также отдельные предписания других нормативных правовых актов [2]. Например, положения п. 8 ст. 6 федерального закона от 1 апреля 1996 г. № 27-ФЗ (ред. от 11 июля 2011 г.) «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», на основании которых сведения, содержащиеся в индивидуальных лицевых счетах застрахованных лиц, относятся к категории конфиденциальной информации [3], нормы главы 14 «Защита персональных данных работника» Трудового кодекса Российской Федерации [4] и др.
Следует отметить, что федеральным законом от 25 июля 2011 г. № 261-ФЗ «О внесении изменений в федеральный закон «О персональных данных» внесены существенные поправки в Закон о персональных данных, которые касаются принципов и условий обработки персональных данных, обязанностей оператора при обработке персональных данных.
Закон о персональных данных является первым специальным российским законом, принятым в сфере обработки персональных данных. Для сравнения отметим, что в Англии подобный закон — Закон о защите данных 1984 г. (Data Protection Act 1984) принят 12 июля 1984 г. [5] В ФРГ и того ранее: 27 января 1977 г. был принят федеральный закон «О защите персонифицированной информации от противоправных действий в процессе обработки данных» [6]. Как мы видим, в сфере обработки персональных данных российское законодательство отстает от законодательства развитых европейских стран более чем на 20 лет.
Российским законодательством термин «персональные данные» впервые был определен нормами федерального закона от 20 февраля 1995 г. № 24-ФЗ (ред. от 10 января 2003 г.) «Об информации, информатизации и защите информации». К информации о гражданах (персональным данным) законодателем были отнесены «сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность» [7]. На основании этого определения субъектами персональных данных являлись только граждане, соответственно, например, информация о лицах без гражданства не подпадала под категорию «персональные данные». Персональные данные не подразделялись на виды, так, согласно положениям п. 1 ст. 11 указанного закона все без исключения персональные данные относились «к категории конфиденциальной информации».
В настоящее время в российском законодательстве присутствует другой подход. Предписаниями ст. 3 Закона о персональных данных персональные данные определяются как «любая
А. А. Коврижных. Персональные данные как объект правовой охраны
информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».
На наш взгляд, следует положительно отметить два существенных момента.
Во-первых, расширен субъектный состав: субъектами персональных данных определены физические лица.
Во-вторых, законодатель выделяет четыре категории персональных данных с разными правовыми режимами, содержание которых, как справедливо указывает Л. К. Терещенко, «сводится в основном к режиму доступа» [8]. Это: общая категория «персональные данные», специальные категории персональных данных, биометрические персональные данные и персональные данные, сделанные общедоступными субъектом персональных данных.
Понятийный аппарат Закона о персональных данных, определенный положениями ст. 3, не содержит дефиниции «специальные категории персональных данных». Перечень относимых к специальным категориям сведений определен нормативными предписаниями п. 1 ст. 10 указанного закона, в соответствии с которыми специальные категории персональных данных включают сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Перечень является исчерпывающим. На наш взгляд, например, представляется спорным вопрос об отсутствии в этом перечне сведений о судимости, так как нормами п. 3 ст. 10 Закона о персональных данных сведения о судимости определяются как специальные категории персональных данных.
На основании положений п. 1 ст. 11 указанного закона биометрическими персональными данными являются «сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность».
Все три вышеназванные категории персональных данных относятся к информации ограниченного доступа. Законодатель в нормах пп. 10 п. 1 ст. 6 Закона о персональных данных определяет еще одну новую категорию персональных данных — персональные данные, «доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе» (персональные данные, сделанные общедоступными субъектом персональных данных), на которые не распространяет требование соблюдения конфиденциальности.
По нашему мнению, было бы логичнее дефиниции «специальные категории персональных данных», «биометрические данные» и «персональные данные, сделанные общедоступными субъек-
том персональных данных» закрепить в предписаниях ст. 3 Закона о персональных данных, определяющих понятийный аппарат закона.
Обработка персональных данных осуществляется в информационных системах персональных данных. Рассматривая проблему качества понятийного аппарата в сфере обработки персональных данных, отметим несогласованность правовых норм действующего информационного законодательства, определяющих состав информационной системы персональных данных. Положения ст. 3 Закона о персональных данных информационную систему персональных данных определяют как «совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств».
Согласно этому определению в состав информационной системы персональных данных включаются три составляющие: базы данных, включающие персональные данные, информационные технологии и технические средства. Согласно нормам ст. 2 федерального закона от 27 июля 2006 г. № 149-ФЗ (ред. от 6 апреля 2011 г., с изм. от 21 июля 2011 г.) «Об информации, информационных технологиях и о защите информации» (далее — Закон об информации) под информационными технологиями понимают «процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов» [9]. К информационным технологиям относится, например, программное обеспечение информационной системы персональных данных, с помощью которого осуществляется автоматизированная обработка персональных данных. Такой подход соответствует нормативным предписаниям ст. 1261 ч. IV Гражданского кодекса РФ, согласно которым программы для ЭВМ создаются «для функционирования ЭВМ и других компьютерных устройств» в целях получения определенного результата [10].
К сожалению, содержание понятия «технические средства» на законодательном уровне не закреплено. Дефиниция «технические средства, позволяющие осуществлять обработку персональных данных» определена в нормах п. 1 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного Постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781 (далее — Положение), как «средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные
устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т. п.), средства защиты информации, применяемые в информационных системах» [11].
На наш взгляд, предписания п. 1 Положения содержат громоздкое, запутанное и сложное для восприятия понятие технических средств, позволяющих осуществлять обработку персональных данных. Здесь уместно вспомнить «принцип простоты», предложенный английским философом и логиком Уильямом Оккамом. По его мнению, простые и понятные объяснения явлений — самые лучшие.
На основании приведенного определения в состав технических средств, осуществляющих обработку персональных данных, включаются «программные средства (операционные системы, системы управления базами данных и т. п.)», что, на наш взгляд представляется весьма спорным. Нормы п. 2 Положения устанавливают, что «технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации». В соответствии с этими нормами программные средства не входят в состав технических средств и рассматриваются уже как самостоятельный объект, наряду с техническими средствами. Как мы видим, нормативные предписания п. 1 и п. 2 Положения не согласованы между собой в части определения состава технических средств, осуществляющих обработку персональных данных.
В целях повышения эффективности правового регулирования отношений в сфере обработки персональных данных, на наш взгляд, представляется целесообразным закрепить понятие технических средств на законодательном уровне, однозначно определив его состав. Как мы видим, понятийный аппарат в сфере обработки персональных данных проработан неосновательно, отдельные дефиниции не согласованы между собой, а неточное определение основных понятий не лучшим образом отражается на качестве правового регулирования общественных отношений.
В качестве субъектов правоотношений законодателем определены: субъект персональных данных, оператор, уполномоченный орган по защите прав субъектов персональных данных и третьи лица, получающие или предоставляющие информацию о субъекте персональных данных.
Согласно нормам ст. 3 Закона о персональных данных оператором является «государственный орган, муниципальный орган, юридическое
или физическое лицо, самостоятельно или совместно с другими лицами организующие и(или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными». Соответственно, любая организация будет являться оператором персональных данных, так как обрабатывает данные своих сотрудников.
Согласно нормативным предписаниям п. 1 ст. 23 Закона о персональных данных и п. 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного Постановлением Правительства Российской Федерации от 16 марта 2009 г. (ред. от 24 марта 2011 г.) № 228, Уполномоченным органом по защите прав субъектов персональных данных, обеспечивающим контроль и надзор за соответствием обработки персональных данных, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роском-надзор).
Операторы и иные лица, получившие доступ к персональным данным, на основании положений ст. 7 Закона о персональных данных обязаны «не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом».
На практике установленное законодателем требование об обеспечении конфиденциальности обрабатываемых персональных данных соблюдается операторами, к сожалению, далеко не всегда. Об этом говорят факты несанкционированного распространения персональных данных, в том числе в сети Интернет. Например, на сайте Gazefar.net размещались предложения о бесплатном копировании полной базы данных ГИБДД 2011 г. по России и ближним регионам, включающей государственные номера автомобилей, персональные данные их владельцев и водителей, свободный телефонный справочник со всеми абонентами операторов сотовой связи, а также базы данных пользователей «Одноклассники» 2011 г. с паролями и электронными адресами. В настоящее время сайт заблокирован.
Комментируя приведенные факты неправомерного распространения персональных данных в сети Интернет, заметим, что если на сайте Odnoklassniki.ru пользователи сети Интернет регистрируются по своему желанию, то предоставление персональных данных (паспортов соответствующих транспортных средств, заключенных договоров, иных документов, удостоверяющих право собственности на транспортные средства) в ГИБДД физическими лицами согласно п. 4
А. А. Коврижных. Персональным данн-ы-е как объект правовой охраныi
Постановления Правительства РФ от 12 августа 1994 г. № 938 (ред. от 20 августа 2009 г.) «О государственной регистрации автомототранспор-тных средств и других видов самоходной техники на территории Российской Федерации» является обязательным требованием для регистрации транспортного средства [12].
Беспрецедентным случаем нарушения конституционного права на неприкосновенность частной жизни следует назвать факт попадания 18 июля 2011 г. в открытый доступ поисковой системы «Яндекс» около 8 тысяч 8Ш8-сообщений, отправленных с сайта «Мегафон», причем в некоторых сообщениях можно было прочитать паспортные данные людей [13]. Оператор «Мегафон» объяснил происшедшее техническим сбоем, связанным с работой внешнего администратора сайта.
Как мы видим, случаи неправомерного распространения персональных данных в сети Интернет имеют место. Чтобы в дальнейшем исключить повторения подобных «технических сбоев», представляется целесообразным в Закон о персональных данных включить норму, устанавливающую требования к информационным системам персональных данных. Положения п. 8 ст. 14 Закона об информации закрепляют обязательное условие соответствия технических средств, предназначенных для обработки информации, содержащейся в государственных информационных системах, в том числе программно-технических средств и средств защиты информации требованиям законодательства Российской Федерации о техническом регулировании [14]. Нормы п. 4 ст. 13 Закона об информации распространяют установленные указанным законом требования к государственным информационным системам «на муниципальные информационные системы, если иное не предусмотрено законодательством Российской Федерации о местном самоуправлении». Однако информационные системы персональных данных, не являющиеся государственными или муниципальными информационными системами, не подпадают под действие этой законодательной нормы. На наш взгляд, следует устранить этот пробел, закрепив на законодательном уровне для всех информационных систем персональных данных обязательное условие соответствия технических средств информационных систем персональных данных, в том числе программно-технических средств и средств защиты информации требованиям законодательства Российской Федерации о техническом регулировании.
Как отмечает А. В. Паламарчук, «в настоящее время еще не сформирована судебная практика по спорам, касающимся защиты и сохранности персональных данных физических лиц при их распространении в сети Интернет» [15]. По нашему мнению, необходимо учитывать, что сеть
«Интернет» представляет собой единое информационное пространство, и интернет-сайты, размещающие персональные данные россиян, могут быть зарегистрированы не только в России, но и в других государствах.
Деятельность по выявлению и пресечению незаконно распространяющих персональные данные российских граждан интернет-ресурсов, в том числе зарегистрированных за пределами Российской Федерации в доменных зонах «com», «org», «net», осуществляет Роскомнадзор как уполномоченный орган по защите прав субъектов персональных данных. В связи с этим заслуживают положительной оценки изменения, внесенные федеральным законом от 25 июля 2011 г. № 261-ФЗ «О внесении изменений в федеральный закон «О персональных данных» в сфере трансграничной передачи персональных данных. Так, согласно предписаниям п. 2 ст. 12 Закона о персональных данных Роскомнадзор «утверждает перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных». Законодателем в положениях п. 4 ст. 12 Закона о персональных данных определен исчерпывающий перечень случаев трансграничной передачи персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных. В соответствии с этой законодательной нормой трансграничная передача персональных данных на территории таких государств может осуществляться с письменного согласия субъекта персональных данных, в случаях, предусмотренных международными договорами и федеральными законами, для исполнения условий договора, стороной которого является субъект персональных данных, а также для защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения письменного согласия субъекта персональных данных.
Хотелось бы затронуть также отдельные проблемные вопросы реализации положений действующего законодательства, регулирующего отношения в сфере обработки персональных данных, на практике.
Нормами ст. 6 Закона о персональных данных определен закрытый перечень случаев обработки персональных данных. В соответствии с пп. 7 п. 1 ст. 6 указанного закона обработка персональных данных может осуществляться с соблюдением принципов и правил, предусмотренных Законом о персональных данных, в случае, если она «необходима для осуществления прав и законных интересов оператора или третьих лиц
либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных».
Как было отмечено выше, любая организация будет являться оператором персональных данных. Операторы электросвязи, а также управляющие организации, товарищества собственников жилья, жилищные кооперативы, жилищно-строительные кооперативы, иные специализированные потребительские кооперативы, осуществляющие в соответствии с Жилищным кодексом Российской Федерации управление многокварти-р0ными домами, являются операторами персональных данных и, на основании норм пп. 7 п. 1 ст. 6 Закона о персональных данных, вправе осуществлять обработку персональных данных только при условии соблюдения прав и свобод субъектов персональных данных.
К сожалению, это законодательное предписание вышеперечисленными организациями на практике реализуется далеко не всегда. Например, квитанции на оплату за предоставленные услуги связи пользователям этих услуг операторы электросвязи рассылают в незапечатанном виде, то есть, при желании можно легко узнать, с абонентами каких городов осуществлялись междугородные переговоры пользователями услуг связи, а также сумму задолженности за предоставленные услуги связи. К сожалению, подобная ситуация наблюдается и с рассылкой квитанций на оплату за предоставленные коммунальные услуги собственникам жилья, нанимателям жилых помещений государственного или муниципального жилищного фонда, из содержания которых можно узнать сведения о составе семьи, о временно отсутствующих членах семьи, сумму задолженности по оплате за коммунальные услуги. Для соблюдения прав и свобод субъектов персональных данных, на наш взгляд, операторы электросвязи, а также лица, обслуживающие жилищный фонд, обязаны рассылать квитанции на оплату за предоставленные услуги в запечатанном виде.
Мы попытались оценить качество правового регулирования отношений в сфере обработки персональных данных, проанализировать отдельные положения действующего законодательства о персональных данных на предмет соответствия его существующим общественным отношениям в сфере обработки персональных данных. Об актуальности затронутой проблемы свидетельствует регулярное появление на ежедневно обновляемой новостной ленте сайта Роскомнадзора информации о вновь выявленных нарушениях законодательства о персональных данных.
Подводя итоги, следует отметить, что еще многие вопросы в сфере обработки персональных данных остаются нерешенными: имеются пробелы в правовом регулировании отношений, нормативные
предписания об обеспечении конфиденциальности обрабатываемых персональных данных Закона о персональных данных соблюдаются операторами далеко не всегда, что является нарушением конституционного права на неприкосновенность частной жизни, личную и семейную тайну.
Примечания
1. О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных: федеральный закон от 19 декабря 2005 г. № 160-ФЗ (принят ГД ФС РФ 25 ноября 2005 г.) // Российская газета. 2005. 22 дек.
2. О персональных данных: федеральный закон от 27 июля 2006 г. № 152-ФЗ (ред. от 4 июня 2011 г.) // Российская газета. 2006. 29 июля.
3. Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования: федеральный закон от 1 апреля 1996 г. № 27-ФЗ (ред. от 11 июля 2011 г.) // Российская газета, 1996. 10 апр.
4. Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ (ред. от 18 июня 2011 г.) // Российская газета. 2001. 31 дек.
5. Data Protection Act 1984. URL: http:// www.legiaslation.gov.uk./ukpra/1984/pdfs/ ukpga_19840035_en.pdf, свободный. Загл. с экрана. Яз. англ.
6. Gezets zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung vom 27. Januar 1977 // Bundengesetzblatt. 1977. Teil. 1. S. 201.
7. Об информации, информатизации и защите информации: федеральный закон от 20 февраля 1995 г. № 24-ФЗ (ред. от 10 января 2003 г.) // Российская газета. 1995. 22 февр.
8. См. об этом подробнее: Терещенко А. К. К вопросу о правовом режиме информации // Информационное право. 2008. № 1. С. 20-27.
9. Об информации, информационных технологиях и о защите информации: федеральный закон от 27 июля
2006 г. № 149-ФЗ (ред. от 6 апреля 2011 г. с изм. от 21 июля 2011 г.) // Российская газета. 2006. 29 июля.
10. Гражданский кодекс Российской Федерации (часть четвертая) от 18 декабря 2006 г. № 230-ФЗ (ред. от4 октября 2010 г.) // Российская газета. 2006. 22 дек.
11. Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных: постановление Правительства РФ от 17 ноября
2007 г. № 781 // Российская газета. 2007. 21 ноября.
12. О государственной регистрации автомототран-спортных средств и других видов самоходной техники на территории Российской Федерации: постановление Правительства РФ от 12 августа 1994 г. № 938 (ред. от 20 августа 2009 г.) // Собрание законодательства РФ. 1994 г. № 17. Ст. 1999.
13. Абонент временно общедоступен // Коммерсантъ. 2011. 19 июля.
14. Об информации, информационных технологиях и о защите информации: федеральный закон от 27 июля 2006 г. № 149-ФЗ (ред. от 6 апреля 2011 г. с изм. от 21 июля 2011 г.) // Российская газета. 2006. 29 июля.
15. См. об этом подробнее: Паламарчук А. В. Надзор за исполнением законодательства о персональных данных в сети Интернет // Законность. 2010. № 12. С. 3-5.