Научная статья на тему 'Российский и зарубежный опыт в области защиты персонал ьных данных'

Российский и зарубежный опыт в области защиты персонал ьных данных Текст научной статьи по специальности «Право»

CC BY
752
187
i Надоели баннеры? Вы всегда можете отключить рекламу.

Аннотация научной статьи по праву, автор научной работы — Коровяковский Д. Г.

В настоящее время в России происходит переход к информационному обществу. Последние 10 лет Россия становится полноценным участником глобальных процессов, происходящих в мире, в том числе в области прав и свобод человека. За этот период в России увеличилось количество различных баз данных, содержащих информацию персонального характера (персональные данные), держателями которой являются как государственные, так и частные структуры. Тем не менее, вопросы, касающиеся сбора, обработки, хранения и передачи персональных данных до сих пор не имеют достаточного правового, организационного и технического обеспечения. Вызывает опасение негативная тенденция к проникновению преступности в информационную сферу. Получение криминальными структурами доступа к конфиденциальной информации, усиление степени их влияния на жизнь общества, неразвитость институтов гражданского общества препятствуют реализации прав граждан в информационной сфере и создают угрозу национальной безопасности Российской Федерации…

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Российский и зарубежный опыт в области защиты персонал ьных данных»

российский и зарубежный опыт в области защиты п ерсональн ых данн ых

д. Г. коровяковский,

кандидат юридических наук, доцент

В настоящее время в России происходит переход к информационному обществу. Последние 10 лет Россия становится полноценным участником глобальных процессов, происходящих в мире, в том числе в области прав и свобод человека. За этот период в России увеличилось количество различных баз данных, содержащих информацию персонального характера (персональные данные), держателями которой являются как государственные, так и частные структуры.

Тем не менее вопросы, касающиеся сбора, обработки, хранения и передачи персональных данных до сих пор не имеют достаточного правового, организационного и технического обеспечения. Вызывает опасение негативная тенденция проникновения преступности в информационную сферу. Получение криминальными структурами доступа к конфиденциальной информации, усиление степени их влияния на жизнь общества, неразвитость институтов гражданского общества — все это препятствует реализации прав граждан в информационной сфере и создает угрозу национальной безопасности Российской Федерации.

Необходимо разделять правовую и техническую защиту персональных данных. Представляется актуальным уделить внимание проблеме правовой защиты персональных данных и определения степени защищенности информации, содержащей персональные данные, рассмотреть степень правового регулирования сбора, хранения, передачи, использования персональных данных, ответственности за несанкционированное получение и использование персональных данных в российском законодательстве.

В демократическом обществе права человека имеют первостепенное значение. Информационное общество должно служить благоприятной средой для развития личности. Частная жизнь лич-

ности должна быть защищена от разрушительного информационного воздействия. Право на личную жизнь — это право вести свою жизнь по собственному усмотрению при минимальном постороннем вмешательстве в нее. Оно касается личной, семейной и домашней жизни, физической неприкосновенности и духовной свободы личности, ее чести и достоинства, необходимости не допускать, чтобы человека представляли в ложном свете, сохранения в тайне не имеющих отношения к делу неблагоприятных фактов, неразрешенной публикации частных фотографий, защиты от незаконного использования частной переписки, защиты от раскрытия информации, предоставленной или полученной на условиях конфиденциальности и т. д. Особым институтом права на неприкосновенность частной жизни в условиях автоматизации и развития новых информационных технологий является институт персональных данных. Информация является инструментом, позволяющим достигать определенных целей и задач по изменению сознания или определения поведения индивида и общества в целом.

Сведения о гражданах собираются и аккумулируются различными государственными органами (МВД, БТИ, медицинские учреждения и т. д.) и частными структурами (операторы связи, также медицинские учреждения негосударственного характера и т.д.), наконец, работодателями. Совершая покупки в Интернет-магазинах, потребитель сообщает свои персональные данные. Однако владельцы таких магазинов не всегда обеспечивают охрану персональных данных, а отсутствие соответствующей законодательной базы создает пробел в правовом регулировании.

Правовое регулирование персональных данных в России. Персональные данные представляют собой любую информацию, которая относится к определенному или определяемому на основании такой инфор-

мации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация1.

Первоначально к проблеме защиты персональных данных на международном уровне обратилась Организация по экономическому сотрудничеству и развитию (ОЭСР), принявшая 23 сентября 1980 г. Директиву «О защите неприкосновенности частной жизни и международных обменов персональными данными» (СОВЕТ ОЭСР при этом руководствовался ст. 1(с), 3(а) и 5(Ь) Конвенции об Организации по экономическому сотрудничеству и развитию от 14 декабря 1960 г., учитывая, что, несмотря на возможные различия в национальных законах и направлениях политики, страны-члены в равной степени заинтересованы в защите неприкосновенности частной жизни и индивидуальных свобод, а также в нахождении баланса между такими важными, но противоречащими друг другу ценностями, как неприкосновенность частной жизни и свобода обменов информацией. Также учитывалось, что автоматизированные системы обработки данных и международные обмены персональными данными создают новые формы отношений между странами и требуют разработки совместимых между собой правил и практических методов работы; международные обмены персональными данными способствуют экономическому и социальному развитию; внутренние законы о защите неприкосновенности частной жизни и международных обменов персональными данными могут затруднять эти международные обмены; имеется намерение развивать свободные обмены информацией между странами-членами и избегать необоснованного возведения препятствий на пути развития экономических и социальных отношений между странами-члена-ми)2. Кроме того, в данной директиве было сформулировано определение персональных данных — это любая информация, относящаяся к индивидууму («субъекту данных»), чья личность либо известна, либо может быть установлена.

В дальнейшем принципы были детализированы в Конвенции Совета Европы «О защите личности в связи с автоматической обработкой персональных данных» 28 января 1981 г., которая также дает оп-

1 Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», «Собрание законодательства РФ», 31.07.2006, № 31 (1 ч.), ст. 3451.

2 Выдержка из рекомендаций Совета ОЭСР «О защите неприкосновенности частной жизни и международных обменов персональными данными».

ределение персональных данных — это информация, касающаяся конкретного или могущего быть идентифицированным лица («субъекта данных») 3.

Директива Европейского сообщества «О защите граждан в плане обработки информации личного характера» от 27 июля 1990 г. также предусматривает ряд мероприятий международно-правового значения по защите персональных данных.

Следующий документ — Директива Европейского Союза и Парламента 95/46/ЕС от 24 октября 1995 г. «О защите прав частных лиц применительно к обработке персональных данных и свободном движении таких данных». В этой Директиве также содержится определение персональных данных: «персональные данные» означают любую информацию, связанную с идентифицированным или идентифицируемым физическим лицом («субъектом данных»); идентифицируемым лицом является лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификационный номер или на один или несколько факторов, специфичных для его физической, психологической, ментальной, экономической, культурной или социальной идентичности4.

И, наконец, Директива 97/66/ЕС от 15 декабря 1997 г. «По обработке персональных данных, защите, конфиденциальности в сфере телекоммуникаций». Данная Директива дает определения таким понятиям как:

• «подписчик» означает любое физическое или юридическое лицо, которое выступает в качестве одной из сторон при подписании с провайдером общедоступных телекоммуникационных услуг договора на предоставление таких услуг;

• «пользователь» означает любое физическое лицо, пользующееся общедоступными телекоммуникационными услугами в личных или деловых целях без обязательного условия предварительной подписки на указанные услуги;

• «общедоступная телекоммуникационная сеть» означает передающие системы и — там, где это возможно, — коммутационное оборудование и

3 Конвенция Совета Европы о защите личности в связи с автоматической обработкой персональных данных. Конвенция принята в Страсбурге, 28 января 1981 г., на английском и французском языках, причем оба текста являются равно аутентичными, в единственном экземпляре, который подлежит хранению в архивах Совета Европы. Генеральный секретарь Совета Европы направляет заверенные копии всем государствам — членам Совета Европы и каждому государству, которому предлагается присоединиться к настоящей Конвенции.

4 Директива Европейского Союза и Парламента 95/46/ЕС от

24 октября 1995 года «О защите прав частных лиц применительно к обработке персональных данных и свободном движении таких данных».

иные ресурсы, позволяющие передавать сигналы между терминалами по проводам, радио, оптическим или иным электромагнитным каналам, которые полностью или частично используются для оказания общедоступных телекоммуникационных услуг;

• «телекоммуникационные услуги» означают услуги, предоставление которых полностью или частично состоит в передаче направленных сигналов по телекоммуникационным сетям, за исключением каналов теле- и радиовещания5. В данных международно-правовых актах определены основные принципы организации автоматизированной обработки данных личного (персонального) характера и обеспечения права граждан на защиту персональных данных:

1) данные персонального характера должны быть собраны только для определенных целей и в строгом соответствии с законом;

2) данные должны соответствовать требованиям, быть точными, полными и вовремя обновленными;

3) цели, для достижения которых собираются и обрабатываются персональные данные, должны быть определены и утверждены до начала деятельности и использоваться только в этих целях;

4) в системах учета персональных данных должны быть внедрены механизмы, предотвращающие потери или неправильное (или злоумышленное) использование персональных данных;

5) деятельность организаций (как государственных, так и частных), имеющих базы данных, содержащие персональные данные, должна быть открытой. Такие организации должны предоставить возможность заинтересованным лицам и контролирующим органам убедиться в легитимности обработки персональных данных и целей этой обработки; граждане должны иметь право доступа к данным о них, которые хранятся и обрабатываются, а также должны иметь возможность требовать, чтобы соответствующие данные о них были изменены или исключены;

6) держатели данных должны быть подконтрольными для обеспечения соблюдения настоящих принципов, для этих целей должно быть предусмотрено создание независимого контролируемого органа как важного элемента защиты личности при автоматизированной обработке информации личного характера.

В настоящее время в российской Конституции имеется около двух десятков норм, регулирующих

5 Директива 97/66/ЕС Европейского парламента и Совета Европейского Союза от 15 декабря 1997 года, касающаяся использования персональных данных и защиты неприкосновенности частной жизни в сфере телекоммуникаций.

информационную сферу, действует более 40 федеральных законов в области информации, более 80 актов Президента России и около 200 актов Правительства РФ. Тем не менее, несмотря на огромное количество нормативных актов, далеко не все вопросы, возникающие в условиях перехода России к информационному обществу, урегулированы. К нормативно-правовым актам, в той или иной степени регулирующим оборот персональных данных, можно отнести:

• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» 6;

• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» 7;

• Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» 8;

• Постановление Правительства РФ от 17.11.2007 № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» 9;

• Глава 14 Трудового кодекса РФ «Защита персональных данных работника» 10;

• Указ Президента РФ от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера» 11;

• Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе государственного пенсионного страхования» 12;

• Федеральный закон от 25.01.2002 № 8-ФЗ «О всероссийской переписи населения» 13;

• Приказ Федеральной службы по надзору в сфере связи и массовых коммуникаций Министерства связи и массовых коммуникаций РФ от 17.07.2008 № 08 «Об утверждении образца формы уведомления об обработке персональных данных» 14 и другие нормативно-правовые документы.

6 «Собрание законодательства РФ», 31.07.2006 г., № 31 (1 ч.), ст. 3448.

7 «Российская газета», № 165, 29.07.2006 г.

8 «Российская газета», № 200, 24.09.2008 г.

9 «Российская газета», № 260, 21.11.2007 г.

10 «Российская газета», № 256, 31.12.2001 г.

11 «Российская газета», № 51, 14.03.1997 г.

12 «Российская газета», № 68, 10.04.1996 г.

13 «Российская газета», № 17, 29.01.2002 г.

14 Документ опубликован не был. По заключению Минюста РФ данный документ в государственной регистрации не нуждается. — Письмо Минюста РФ от 06.08.2008 № 01/7830-АС.

Согласно ст. 2 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя. Также указанный Закон раскрывает и другие базовые определения в данной сфере15, которые не раскрывают понятия «персональные данные».

Безусловно, определение «конфиденциальность информации» нельзя назвать полным. В июле 2006 г. был принят Закон РФ «О персональных данных», который раскрывает сущность многих понятий. Основными понятиями данного закона являются:

• персональные данные—любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

• оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие

15 информация — сведения (сообщения, данные) независимо от

формы их представления; информационные технологии — процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов; информационная система — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств; информационно-телекоммуникационная сеть — технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники; обладатель информации — лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам; доступ к информации — возможность получения информации и ее использования; предоставление информации — действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц; распространение информации — действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц; электронное сообщение — информация, переданная или полученная пользователем информационно-телекоммуникационной сети; документированная информация — зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель; оператор информационной системы — гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

обработку персональных данных, а также определяющие цели и содержание обработки персональных данных (например: любая коммерческая, некоммерческая, государственная, частная организация, так как на попечении любой организации находятся персональные данные, как минимум, ее служащих); обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных; распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

блокирование персональных данных—временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи; уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных; обезличивание персональных данных—действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных; информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических

средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

• конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;

• трансграничная передача персональных данных — передача персональных данных оператором через государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;

• общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Анализ определений, данных в законе, говорит о многом: под действие закона подпадают абсолютно все организации, так как на попечении каждой организации находятся персональные данные, как минимум, ее служащих, а часто еще и приватные сведения клиентов, партнеров, подрядчиков или заказчиков, а конфиденциальность информации является обязательным требованием, причем под ней понимается защита от распространения. Также Федеральный закон «О персональных данных» выдвигает целый ряд требований ко всем сферам деятельности организации, в которых она соприкасается с приватными сведениями клиентов.

Например, в России существует база данных обо всех юридических лицах — единый государственный реестр юридических лиц. В соответствии с п. 1 ст. 6 ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей» от 8 августа 2001 г. № 129-ФЗ16 содержащиеся в государственных реестрах сведения и документы являются открытыми и общедоступными, за исключением сведений, доступ к которым ограничен в соответствии с законодательством. Сведения о номере, о дате выдачи и об органе, выдавшем документ, удостоверяющий личность физического лица, сведения о банковских счетах юридических лиц и индивидуальных предпринимателей могут

быть предоставлены исключительно органам государственной власти, органам государственных внебюджетных фондов в случаях и в порядке17, которые установлены Правительством Российской Федерации. Данное ограничение не применяется при предоставлении содержащих указанные сведения копий учредительных документов юридических лиц, а также сведений о месте жительства индивидуальных предпринимателей. Также необходимо отметить, что сведения из ЕГРЮЛ могут быть предоставлены в электронном виде18.

Другим наглядным примером служит Федеральный закон «Об оперативно-розыскной деятельности» от 12 августа 1995 г. № 144-ФЗ19, которым предусмотрены ограничения конституционных прав граждан на тайну телефонных переговоров, переписки, почтовых, телеграфных и иных сообщений, передаваемых по сетям электрической и почтовой связи на основании судебного решения и только при наличии информации о подготовке, совершении или совершенном противоправном деянии либо о событиях или действиях, создающих угрозу государственной, военной, экономической или экологической безопасности Российской Федерации. Данный нормативный акт устанавливает исчерпывающий перечень оперативно-розыскных мероприятий и органов, осуществляющих оперативно-розыскную деятельность. Он разрешает иметь оперативно-технические силы и средства для контроля почтовых отправлений, телеграфных и иных сообщений; прослушивания телефонных переговоров с подключением к стационарной аппаратуре предприятий, учреждений и организаций независимо от форм собственности, физических и юридических лиц, предоставляющих услуги связи; снятия информации с технических каналов связи только лишь органам ФСБ и МВД, которые могут

6 «Российская газета», № 153-154, 10.08.2001 г.

17 Постановление Правительства РФ от 19.06.2002 № 438 (ред. от 27.07.2007 г.) «О едином государственном реестре юридических лиц».

18 Сведения о юридических лицах, содержащиеся в государственном реестре, могут быть предоставлены в электронном виде в порядке и сроки, которые установлены Федеральной налоговой службой. Открытые и общедоступные сведения предоставляются всем заинтересованным лицам. Сведения, доступ к которым ограничен, предоставляются в соответствии с федеральными законами. Сведения о юридических лицах, содержащиеся в государственном реестре, в электронном виде предоставляются: органам государственной власти, органам местного самоуправления и Центральному банку Российской Федерации — бесплатно; юридическим и физическим лицам — за плату. Размер платы за однократное предоставление указанной информации составляет 50000 руб., за однократное предоставление обновленной информации — 5000 рублей, за годовое абонентское обслуживание одного рабочего места — 150000 руб. (п. 24 в ред. Постановления Правительства РФ от 13.12.2005 № 760).

19 «Российская газета», № 160, 18.08.1995 г.

предоставлять эти силы и средства на основе специальных соглашений или межведомственных нормативных актов другим органам, осуществляющим оперативно-розыскную деятельность.

Тем не менее механизмы защиты права на неприкосновенность частной жизни, заложенные в законодательных актах, регулирующих оперативно-розыскную деятельность государственных органов, а именно, право каждого обжаловать неправомерные действия должностных лиц, право каждого на получение информации, собранной в отношении него, если не доказано судом преступление, задуманное или совершенное этим лицом, и обязанность должностных лиц предоставить такую информацию; обязанность должностных лиц структур, осуществляющих оперативно-розыскную деятельность, их вышестоящих органов, а также судов и прокуратуры принять меры по восстановлению конституционных прав граждан в случае незаконного вмешательства в их частную жизнь, возместить причиненный вред; запрет органам (должностным лицам), осуществляющим оперативно-розыскную деятельность, разглашать сведения, затрагивающие неприкосновенность частной жизни, которые стали известны в процессе проведения оперативных мероприятий, без согласия граждан, за исключением случаев, предусмотренных федеральными законами, неэффективны. Во многом такая ситуация объясняется структурными проблемами правовой системы России, низким уровнем правовой грамотности населения, отсутствием у граждан информации о своих правах и механизмах их защиты, а также финансовыми трудностями большей части населения, что ограничивает доступ к квалифицированной юридической помощи.

Положительным моментом является запрещение рядом российских законов сбора и занесения в личные дела (реестры) государственных служащих сведений об их политической, религиозной принадлежности и о частной жизни (гл. 7 Федерального закона от 27 июля 2004 г. № 79-ФЗ «О государственной гражданской службе РФ» 20, ст. 24 Федерального закона от 21 июля 1997 г. № 114-ФЗ «О службе в таможенных органах РФ» 21), а также целой главы в Трудовом кодексе РФ, посвященной правовому регулированию сбора, хранения, защиты и ответственности работодателя за персональные данные работника.

Доктрина информационной безопасности РФ, утвержденная Указом Президента РФ 9 сентября

20 «Российская газета», № 162, 31.07.2004г.

21 «Российская газета», № 146, 31.07.1997 г.

2000 г. 22 определяет 4 основные составляющие национальных интересов РФ в информационной сфере, в том числе соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, а также защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем.

На сегодняшний день в России сложилась парадоксальная ситуация: с одной стороны, несмотря на закрепление гарантий права граждан на доступ к информации в основополагающих международно-правовых документах, Конституции РФ и в целом ряде иных нормативных актов, реальный механизм реализации права граждан на доступ к информации, в том числе информации о них в России отсутствует. Вместе с тем информацию, содержащую персональные данные о гражданах, в том числе базы данных различных органов государственной власти любой желающий может практически свободно приобрести (на черном рынке). При этом российские граждане в полной мере не владеют информацией о том, в каких базах данных о них накапливается информация, и совершенно точно практически не имеют возможности по своему первому требованию получить эту информацию, изменить или исключить ее из свободного доступа.

В последние годы в России создано так называемое Управление «Р» в структуре МВД РФ, в задачи которого в частности входит:

1) борьба с преступлениями в сфере телекоммуникаций, доступ к услугам и ресурсам связи, в том числе сотовой, международной и междугородной;

2) борьба с компьютерными преступлениями (неправомерный доступ к охраняемой законом компьютерной информации, создание и использование вредоносных программ для ЭВМ, нарушение эксплуатации ЭВМ);

3) борьба с незаконным оборотом радиоэлектронных и специальных технических средств;

4) борьба с распространением контрафактной продукции и нарушениями действующего законодательства в области авторских прав.

Реальную картину состояния защищенности информации, содержащей персональные данные, иллюстрирует тот факт, что один из дисков, изъятых сотрудниками подразделения «Р» одной из областей РФ содержал засекреченные данные о сотрудниках регионального УВД, которых не было в самой базе данных ГУВД (!). В последнее время на «черном» рынке информации персонального

22 «Российская газета», № 187, 28.09.2000 г.

53

характера увеличилось количество баз данных частных структур. В 2003 г. в продаже появилась база данных абонентов одного из лидеров российского рынка операторов сотовой связи. База данных содержит такие персональные сведения об абонентах компании, как: фамилия, имя, отчество, дата рождения, паспортные данные, адрес места жительства, индивидуальный номер налогоплательщика, юридический адрес, контактный телефон, дата подписания контракта с оператором, прошедшие платежи. Система поиска позволяет за несколько секунд получить полный список абонентов оператора, являющихся работниками того или иного предприятия. Специалисты службы сотового оператора, занимающейся защитой информации, провели собственное расследование. Отследить путь утечки информации не удалось. Стоит отметить, что информация о базе данных сотового оператора появляется в свободном доступе не первый раз.

Как правило, связаться с лицами, реализующими базы данных, содержащих персональные данные, можно с помощью контактного телефона или e-mail. Следует отметить, что в условиях российской действительности доступ к личной информации абонентов предоставляется широкому кругу лиц — от сотрудников службы поддержки до корпоративных клиентов и компетентных органов. В целом на российском «черном» рынке информации персонального характера доступны различные базы данных, держателями которых являются как государственные органы, так и частные структуры. Указанные базы содержат информацию как о физических, так и о юридических лицах, включая

внутренние корпоративные адреса и персональные данные сотрудников.

С такой ситуацией необходимо бороться, и борьба эта должна начинаться с принятия ряда нормативно-правовых документов.

С другой стороны, в условиях новых глобальных угроз, даже демократические государства, имеющие четкие правовые регуляторы защиты персональных данных, все чаще прибегают к различным способам предотвращения и выявления возможной опасности, которые, тем не менее, напрямую связаны с доступом к персональным данным граждан. Так, в прессе активно обсуждалось использование в США специальной программы Carnivore, позволяющей ФБР перехватывать и отслеживать электронную почту интересующих эту организацию лиц. Известность получили попытки принудить некоторых Интернет-провайдеров установить определенные элементы упомянутой программы на своих серверах. При этом никакие лица со стороны (включая самого провайдера) не могли проконтролировать, как осуществляется доступ к собранным данным. В 2000 году в Великобритании был принят закон, дающий право соответствующим государственным органам при определенных условиях требовать у провайдеров предоставления журналов сетевого трафика и перехватывать пересылаемые сообщения. Обнародованы планы Правительства Великобритании установить обязанность компаний, занимающихся бизнесом с использованием Интернета, фиксировать деятельность их клиентов в Интернете, чтобы уполномоченные государственные органы могли при желании получить доступ к этим записям.

(Продолжение следует)

i Надоели баннеры? Вы всегда можете отключить рекламу.