TPMsvHa молодого vviHoro
УДК 343.851
Гутник Сергей Иосифович Gutnik Sergey losifovich
старший преподаватель кафедры деликтологии и криминологии Сибирский федеральный университет (660075, Красноярск, ул. Маерчака, 6)
assistant professor of criminology and criminal science chair Siberian federal university (6 Mayerchaka st., Krasnoyarsk, 660075)
E-mail: [email protected]
Получение согласия на обработку и распространение персональных данных как антикриминальная мера безопасности
Obtaining consent to the processing and dissemination of personal data
as measure of anti-crime security
Автор статьи исследует вопрос, связанный с рассмотрением получения согласия на обработку и распространение персональных данных как антикриминальной меры безопасности. Формулируется проблема избыточного в некоторых случаях применения данной меры безопасности, которое может препятствовать реализации государством публичных функций и обеспечению прав человека и гражданина.
Ключевые слова: персональные данные, согласие на обработку, согласие на распространение, объект повышенной опасности, объект повышенной охраны, меры безопасности, антикриминальные меры безопасности, правила безопасности, санкция безопасности, конфиденциальность персональных данных, режим безопасности, правовой режим информации, режим общедоступных данных, личная тайна, семейная тайна.
The author examines the question relating to the consideration of consent for the processing and dissemination of personal data as anti-crime security measures. We formulate the problem of excess in some cases the application of the security measures, which may hinder the state of public functions and ensure the rights of man and citizen.
Keywords: personal data, consent to the processing, consent to the dissemination, the object of increased danger, the object of increased protection, security measures, anti-crime security measures, rules of security, sanction of security, confidentiality of personal data, security mode, legal regime of information, mode of public data, personal secret, family secret.
Действующее российское законодательство о персональных данных, как и все законодательство в сфере оборота информации, является сравнительно молодым, находящимся на этапе становления. Принятый в 2006 году Федеральный закон «О персональных данных» провозгласил своей целью обеспечение защиты прав и свобод человека и гражданина при обработке и распространении его персональных данных, в том числе защиты права на неприкосновенность частной жизни[1].
Информация о гражданине, на основе которой его можно идентифицировать, в своем содержании представляет собой разнородные сведения, посягательство на которые может нанести серьезный ущерб и нарушить право гражданина на неприкосновенность частной жизни, личной и семейной тайны. Взаимосвязь права на неприкосновенность частной жизни и обеспечение права на неприкосновенность персональных данных вполне очевидна — данные могут содержать сведения, которые их субъект не желал бы разглашать, иначе такое разглашение может повлечь за собой неблагоприятные последствия в виде нарушения благополучия субъ-
екта, его чести, достоинства или деловой репутации. Это может привести к нарушению целостности системы общественных отношений, в которых нарушение права на неприкосновенность частной жизни как одного из естественных прав может повлечь за собой нарушение права на личную неприкосновенность и т. д. Нарушению может подвергнуться целый комплекс не только правовых, но и этических, моральных норм и правил поведения, которые приобретают особую ценность в современном мире.
Усиленный характер охраны такого объекта, как персональные данные, обусловливается также и тем, что благополучие человека зависит от га-рантированности сохранения в тайне информации личного характера, разглашение которой может существенно повлиять на его дальнейшую судьбу, а потому такое разглашение является исключительно неправомерным и недопустимым. В силу этого право на неприкосновенность персональных данных является правовой гарантией сохранения в тайне указанной информации.
Конституция РФ в числе основных прав человека и гражданина закрепила в том числе и право на
неприкосновенность частной жизни, что и является нормативной основой признания права на конфиденциальность личной информации в качестве объекта особой правовой охраны [2].
Н.В. Щедрин пишет: «В процессе развития цивилизации «выкристаллизовались» объекты, необходимые для безопасного функционирования личности, общества и человечества. По существу, это те объекты, которые в силу своей высокой ценности подлежат особой уголовно-правовой охране. Это системы, обладающие свойствами, утрата которых приведет к причинению существенного и необратимого вреда: разрушению самой системы или утрате функций, для которых она создана и предназначена» [3, с. 16].
Персональные данные в своей достаточной совокупности позволяют идентифицировать личность их субъекта, который в процессе своей жизни осуществляет тот или иной вид деятельности, занимая определенное положение в обществе, приобретая социальный и деловой статус. Каждый субъект вправе определять достаточный объем сведений, который необходим для его эффективной деятельности в процессе своего становления и развития. Но это вовсе не означает, что все сведения могут быть достоянием общественности.
Как указывается в научной литературе, персональные данные — лишь информация, позволяющая идентифицировать личность. Само по себе распространение этих данных не столько наносит ущерб личности, сколько создает возможность для причинения ущерба [4, с. 50]. С данным мнением можно согласиться, но лишь отчасти, так как разглашение информации само по себе может наносить ущерб личности того, к кому относится такая информация, — в первую очередь страдают нематериальные блага потерпевшего. Разглашение персональных данных может стать своеобразной «платформой» для совершения иных правонарушений и неправомерных действий.
Поэтому из вышеизложенного можно сделать вывод, что право на неприкосновенность частной жизни, как и право на неприкосновенность персональных данных (в зависимости от характера сведений, подпадающих под правовую охрану), являются объектами повышенной правовой охраны.
Как справедливо указывает В.М. Шафиров, охрана является формой обеспечения права и предполагает создание таких условий, при соблюдении которых наступление негативных последствий сводится к минимуму [5, с. 76; 6, с. 131].
Следуя данной логике, можно прийти к выводу, что задача обеспечения повышенной охраны того или иного объекта должна быть обязательно реализована в соответствующей правовой системе. Обеспечение повышенной охраны прав возможно только при помощи соответствующего надлежащего правового инструментария, содержащегося в нормах закона и позволяющего эффективно его реализовать при выстраивании системы правовой охраны.
Правовой инструментарий, который бы обеспечивал безопасность персональных данных от посягательств, в научной доктрине именуется институтом мер безопасности, представляющих собой меры ограничительного характера, направленные на защиту системообразующих отношений объекта от вредоносного воздействия источника повышенной опасности [3, с. 37]. Меры безопасности способны существенно ограничить или вовсе предотвратить опасные посягательства в отношении объектов повышенной охраны.
Если речь идет о персональных данных как разновидности конфиденциальной информации, то установление мер безопасности способно предотвратить нарушение права на неприкосновенность частной жизни, а также вредоносное влияние такого источника опасности, как человек, который неправомерно может воспользоваться персональными данными.
Н.В. Щедрин выделяет две разновидности мер безопасности — правила безопасности и санкции безопасности. Под правилами безопасности понимается совокупность обязанностей и запретов, которые субъект должен соблюдать, чтобы исключить или свести к минимуму вред, причиняемый источником повышенной опасности, либо предотвратить причинение ущерба объекту усиленной охраны любым источником опасности. За нарушение правил безопасности возможно применение трех видов санкций: санкции безопасности, восстановления (компенсации), наказания (ответственности) [3, с. 40]. Под санкциями безопасности понимается реакция на общественную опасность личности, которая проявилась в общественно опасном деянии, либо на общественную опасность социальной группы, выразившуюся в общественно опасной деятельности [3, с. 41].
На наш взгляд, данная научная концепция может быть положена в основу обоснования существования мер законодательного ограничения в отношении персональных данных, поскольку информация личного характера может подвергаться различным посягательствам, которые квалифицируются на практике как преступные в соответствии с уголовным законом.
Часть 4 статьи 29 Конституции Российской Федерации гласит: «Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом» [2]. Такой же принцип содержится в законодательстве других государств, например в ФРГ, и назван как право на информационное самоопределение [7]. Исходя из того, что информационная составляющая является основополагающей при раскрытии сущности персональных данных, при реализации мер безопасности в отношении них существенным образом ограничивается предусмотренное Конституцией РФ право на свободный доступ к информации.
Опасность посягательств на персональные данные трудно обусловить статистическими показателями, поскольку число зарегистрированных
преступлении, имевших своей целью незаконное использование личноИ информации, за последние 5 лет не превышало привычных показателей [8]. Опасность посягательств на персональные данные можно обусловить характером вредоносного воздействия со стороны лиц, совершающих такие посягательства.
Так, мировоИ практике известны случаи, когда посредством неправомерного, преступного использования персональных данных совершались тяжкие и особо тяжкие преступления. Например, в Соединенных Штатах Америки один из граждан, являвшиИся свидетелем по уголовному делу, подвергся покушению на жизнь со стороны злоумышленников. Он был тяжело ранен, поэтому был помещен в лечебное учреждение под строгое наблюдение в особо охраняемую палату. Однако злоумышленники, используя персональные данные жертвы, посредством вирусного проникновения в программу стимуляции сердца через сеть «Интернет» изменили эту программу, причинив таким образом смерть потерпевшему [9].
На сегодняшний день Закон «О персональных данных» предусматривает в пункте 1 части 1 статьи 6 в качестве важнеИшего условия обработки персональных данных получение согласия субъекта персональных данных на такую обработку. Кроме того, статья 7 указанного Закона устанавливает правило, в соответствии с которым операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом [1].
Нужно, однако, учитывать, что из этого общего правила существуют исключения, которые предусмотрены статьеИ 6 указанного Закона. Например, обработка персональных данных допускается в случае, если она осуществляется в целях осуществления правосудия, для выполнения полномочиИ прокурора в соответствии с законодательством о прокуратуре, для исполнения полномочиИ государственных органов и т. д.
Таким образом, можно сделать вывод, что обработка и распространение персональных данных, по общему правилу, невозможны без согласия субъекта персональных данных, если, конечно, речь не идет о случаях, являющихся исключением из этого правила и предусмотренных федеральным законом. Указанные нормативные положения по существу и в совокупности определяют режим конфиденциальности данных, так как устанавливают запрет на свободныИ доступ к персональноИ информации. С позициИ правовоИ теории мер безопасности данные нормы являются не чем иным, как антикриминальным режимом безопасности [3, с. 62], поскольку содержат в себе ограничительным компонент и направлены на усиленную охрану такого объекта повышенноИ охраны, как персональные данные. ПравовоИ режим конфиденциальности персональных данных определяет состояние защи-
щенности сведениИ, которые не могут быть общественным достоянием.
Получение согласия на обработку персональных данных позволяет смоделировать и предотвратить ситуацию, при котороИ в результате разглашения персональных данных, во-первых, может пострадать личное нематериальное благо физического лица — право на неприкосновенность частноИ жизни; во-вторых, режим конфиденциальности данных фактически по умолчанию обязывает всех, кто связан с обработкоИ данных, обеспечивать неприкосновенность таких сведениИ до тех пор, пока сам субъект не определит, что их конфиденциальность является излишнеИ.
Указанное правило безопасности в отношении персональных данных в виде получения согласия на обработку и распространение обеспечивается соответствующеИ антикриминальноИ санкциеИ безопасности, которая закреплена в статье 137 УК РФ, предусматривающеИ уголовную ответственность за незаконное собирание и распространение сведениИ о частноИ жизни лица, составляющих его личную или семеИную таИну, без его согласия либо распространение этих сведениИ в публичном выступлении, публично демонстрирующемся произведении или средствах массовоИ информации [10].
Однако следует заметить, что в некоторых ситуациях правового характера антикриминальное правило безопасности «получение согласия субъекта на обработку персональных данных» может препятствовать реализации многих важнеИших прав гражданина, а также обеспечить правопорядок. На это обращают внимание ученые-юристы, указывая, что деИствующее россиИское законодательство о персональных данных порождает дисбаланс интересов в россиИском законодательстве и перекос в сторону абсолютизации интересов субъекта персональных данных без учета реальных возможностеИ операторов персональных данных [11, с. 15].
Так, в правоприменительноИ практике до сих пор не решен однозначно вопрос о том, обязан ли оператор, обрабатывающиИ персональные данные субъекта, предоставлять эти сведения третьим лицам, если оператор прекратил в силу объективных причин правоотношения с субъектом персональных данных. С одноИ стороны, ФедеральныИ закон исходит из необходимости уничтожения персональных данных такого субъекта, как только правоотношения между оператором и субъектом прекратились. С другоИ стороны, речь об уничтожении персональных данных нельзя вести во многих случаях взаимодеИствия оператора и субъекта даже после прекращения между ними отношениИ.
Л.К. Терещенко пишет, что содержащееся в Федеральном законе «О персональных данных» требование об уничтожении персональных данных, в том числе по достижению заявленных целеИ, нуждается в корректировке, в частности, в связи с соблюдением законодательства об архивном деле, которое устанавливает требования и порядок обращения с документами, содержащими персональные данные [12, с. 39].
Подобная ситуация была много раз предметом судебных споров на уровне системы арбитражных судов. Так, в деле № А65-17712/2012 конкурсный управляющий ООО «Н*» обратился в суд с заявлением о признании незаконным решения Управления Пенсионного фонда России об отказе в предоставлении сведений о количестве работников ООО «Н*», заработной плате, данных страхового учета. Суд кассационной инстанции отметил, что указание на отсутствие законодательной обязанности по предоставлению сведений иным лицам, кроме застрахованного лица, не лишает конкурсного управляющего прав на истребование необходимой информации. Соответственно, согласие работников должника на предоставление сведений о них конкурсному управляющему не требуется, поскольку это связано с осуществлением конкурсным управляющим его обязанностей, предусмотренных федеральным законом [13].
Очевидно, что такая антикриминальная мера безопасности, как получение согласия на обработку и распространение персональных данных существенным образом ограничивает право на получение информации. Однако эта мера может создавать препятствия в реализации прав и полномочий, предоставленных субъектам в силу прямого указания федерального закона. На наш взгляд, норма, содержащаяся в пункте 1 части 1 статьи 6 Федерального закона «О персональных данных» создает расширительное толкование для случаев, когда в силу реализации прав и обязанностей, предусмотренных федеральным законом, обработка персональных данных допускается без согласия третьих лиц. И под этот случай в том числе подпадает и конкурсный управляющий как лицо, осуществляющее полномочия в силу Федерального закона «О несостоятельности».
Нам представляется, что применение данной меры безопасности должно носить достаточный и справедливый характер, то есть соответствовать изначальным целям обработки и использования персональных данных, что и будет гарантией обеспечения безопасности субъекта персональных данных. В этом смысле, если право на получение информации о конкретном субъекте закреплено за тем или иным лицом в федеральном законе, то установление обязательного получения согласия субъекта на обработку персональных данных излишне и нецелесообразно,поскольку лицо,которому предоставлено право на получение данных без согласия, обязано использовать его только в целях, предусмотренных законом.
Из этого же принципа исходит и Конвенция Совета Европы «О защите прав физических лиц при автоматизированной обработке персональных данных» 1981 года, в статье 7 которой содержится правило: «Для защиты персональных данных, хранящихся в автоматизированных базах данных, принимаются надлежащие меры безопасности, направленные на предотвращение их случайного или несанкционированного уничтожения или случайной потери, а
также на предотвращение несанкционированного доступа, их изменения или распространения» [14].
Сказанное выше позволяет сформулировать проблему определения пределов исследуемой антикриминальной меры безопасности. На наш взгляд, она теснейшим образом взаимосвязана с проблемой соблюдения баланса частных и публичных интересов в правоотношениях между гражданином и государством, которые зачастую в последние годы имеют тип не «господства — подчинения», а тип «координации» с перевесом в сторону прав и свобод человека и гражданина, что не во всех случаях является правильным. Более того, как указывает A.B. Кучеренко, нельзя не согласиться с тем обстоятельством, что действующая законодательная база направлена на обеспечение защиты собственно информации, а не прав граждан при обработке их персональных данных в различных информационных системах [15, с. 35].
Очевидно, что проблема обеспечения публичных и частных интересов при соблюдении неприкосновенности персональных данных может быть решена путем расширения способов получения согласия на обработку персональных данных, помимо обязательной письменной формы, установленной действующим законом. Например, согласие может быть получено от гражданина по электронной почте при наличии у него электронной цифровой подписи или посредством смс-сообщения. Кроме того, расширение перечня случаев, при которых согласие на обработку и распространение персональных данных не требуется, позволило бы прийти к балансу частных и публичных интересов. Представляется, что это должны быть случаи, прямо предусмотренные законом и связанные с реализацией различными субъектами публичных функций со стороны государства и его органов.
Таким образом, мы пришли к выводу, что персональные данные с позиций современных реалий приобрели статус объекта повышенной охраны, поскольку нарушение их конфиденциальности может повлечь за собой нарушение целого комплекса правоотношений. Вследствие этого, получение согласия на обработку персональных данных является важнейшей антикриминальной мерой безопасности, применение которой должно быть достаточным и оправданным, но не безграничным.
Примечания
1. О персональных данных: федеральный закон от 27 июля 2006 г. № 152-ФЗ // Собрание законодательства РФ. 2006. № 31, ч. 1, ст. 3451.
2. Конституция Российской Федерации: принята всенародным голосованием 12 декабря 1993 г. // Собрание законодательства РФ. 2014. № 31, ст. 4398.
3. Концепутально-теоретические основы правового регулирования и применения мер безопасности: монография / под науч. ред. Н.В. Щедрина. Красноярск, 2010.
4. Авдеев М.Ю. Нормативное содержание права на неприкосновенность частной жизни // Новый юридический журнал. 2013.№ 1.
5. Шафиров В.М. Обеспечение права: человекоцент-ристский подход: монография. Красноярск, 2005.
6. Матузов Н.И. Правовая система и личность. Саратов, 1987.
7. BernerK. Constitutions Going Online — Internet-related Dynamics in Constitutional Law? // Humboldt University of Berlin Internet & Society Working Paper № 3/11. URL: http:// berlinsymposium.org/sites/berlinsymposium.org/files/ constitutions_going_online.pdf
8. Борисов Т. Хакеры остановили сердце // Российская газета. 2005. 2 августа. URL: http://www.rg.ru/2005/02/08/ e-prestupnost.html
9. Генеральная прокуратура. Портал правовой статистики. URL: http://crimestat.ru/opendata
10. Уголовный кодекс РФ от 13 июня 1996 г. № 63-Ф3 // Собрание законодательства РФ. 1996. № 25, ст. 2954.
11. Назарова Д.Н. Проблемы правовой охраны операторами персональных данных // Информационное право. 2010. № 1.
12. Терещенко Л.К. Правовой режим персональных данных и безопасность личности // Закон. 2013. № 6.
13. Постановление ФАС Поволжского округа от 19 марта 2013 г. по делу № А65-17722/2012 [Электронный ресурс] // СПС «КонсультантПлюс».
14. О защите физических лиц при автоматизированной обработке персональных данных: конвенция Совета Европы от 28 января 1981 г. // Собрание законодательства РФ. 2014. № 5, ст. 419.
15. Кучеренко А.В. Этапы и тенденции нормативно-правового регулирования оборота персональных данных в Российской Федерации // Информационное право. 2009. № 4.
Notes
1. About personal data: federal law from 27.07.2006 № 152-FZ // Collection of legislative acts of the RF. 2006. № 31, р. 1, art. 3451.
2. The Constitution of the Russian Federation adopted by popular vote 12.12.1993 // Collection of legislative acts of the RF. 2014. № 31, art. 4398.
3. Conceptual and theoretical foundations of legal regulation and application of security measures: monograph / scientific. ed. N.V. Shchedrin. Krasnoyarsk, 2010.
4. AvdeevM.Yu. The normative content of the right to privacy // New law journal. 2013. № 1.
5. Shafirov V.M. Ensuring the right: people-centered approach: a monograph. Krasnoyarsk, 2005.
6. MatuzovN.I. legal system and personality. Saratov, 1987.
7. Berner K. Constitutions Going Online — Internet-related Dynamics in Constitutional Law? // Humboldt University of Berlin Internet & Society Working Paper № 3/11. URL: http:// berlinsymposium.org/sites/berlinsymposium.org/files/con-stitutions_going_online.pdf
8. BorisovT. Hackers heart stopped // Rossiyskaya gazeta. 2005. August 2. URL: http://www.rg.ru/2005/02/08/e-prestupnost.html
9. The General prosecutor's office. Portal legal statistics. URL: http://crimestat.ru/opendata
10. The Criminal code of the Russian Federation of 13.06.1996 № 63-FZ // Collection of legislative acts of the RF. 1996. № 25, art. 2954.
11. Nazarova D.N. Problems of legal protection of personal data operators // Information law. 2010. №1.
12. Tereshchenko L.K. The legal regime of personal data and security of the person // Act. 2013. № 6.
13. Resolution of the Federal Volga district from 03.19.2013 in the case № A65-17722 / 2012 // ATP «ConsultantPlus».
15. On the protection of individuals with regard to automatic processing of personal data: the Council of Europe convention from 28.01.1981 // Collection of legislative acts of the RF. 2014. № 5, art. 419.
16. Kucherenko A.V. Stages and tendencies regulatory turnover of personal data in the Russian Federation // Information law. 2009. № 4.