CC BY
93УДК 347 ББК 67
DOI 10.24411 /2312-0444-2021-3-43-47
СООТНОШЕНИЕ ПРАВОВОГО РЕГУЛИРОВАНИЯ БАНКОВСКОЙ ТАЙНЫ И ПЕРСОНАЛЬНЫХ ДАННЫХ ГРАЖДАНИНА В СВЕТЕ НОВЕЛЛ ЗАКОНОДАТЕЛЬСТВА О ПЕРСОНАЛЬНЫХ ДАННЫХ
Ирина Юрьевна ПАВЛОВА,
кандидат юридических наук, доцент, доцент кафедры гражданского права Московского государственного юридического университета имени О.Е. Кутафина (МГЮА) IYUILINA@msal.ru, profirina29@mail.ru
Аннотация. Статья посвящена проблемам новейшего правового регулирования персональных данных гражданина; вопросам соотношения персональных данных с банковской тайной, в том числе со сведениями о клиенте, составляющими банковскую тайну; вопросам совершенствования правового регулирования соотношения согласий на обработку и распространение персональных данных в целях защиты прав и законных интересов участников правоотношений.
Ключевые слова: персональные данные, банковская тайна, правовое регулирование на уровне федерального закона, законодательство о банках и банковской деятельности, обработка и распространение персональных данных, правовая охрана, права и законные интересы гражданина.
Annotation. The article is devoted to certain issues of legal protection of personal data of a client in credit relations, features of legal protection of personal data in case of non-conclusion or invalidity of a loan agreement, issues of balance of interests in legal relations of a bank-client, interbranch aspects of the protection of rights and legitimate interests when using personal data
Keywords: personal data, banking secrecy, legal regulation at the level of federal law, banking and banking legislation, processing and distribution of personal data, legal protection, rights and legitimate interests of a citizen.
Проблематика банковской тайны в соотношении с персональными данными гражданина, находясь в поле зрения ученых и практиков, долгое время остается за пределами детального позитивного правового регулирования. В то же время банковская тайна и исключения из нее урегулированы на уровне законодательства весьма кратко. В отечественном праве банковская тайна периодически претерпевает расширение сферы своего распространения, что связано как с усложнением гражданского оборота, так и возникновением все новых межотраслевых взаимосвязей.
Еще М.М. Агарков определял банковскую тайну как «обязанность кредитного учреждения хранить тайну по операциям клиентов»1.
Сфера персональных данных постоянно находится в поле зрения законодателя.
Так, 1 марта 2021 г. вступили в силу изменения в Федеральный закон «О персональных
данных»2 (далее — Закон о персональных данных), который определил персональные данные, разрешенные для распространения. Новая редакция данного Закона обязывает оператора персональных данных получать согласие на их распространение, из Закона устранен термин «общедоступные персональные данные». О плюсах и минусах новой редакции данного Закона, в преломлении к исследуемым вопросам, будет сказано ниже.
Прежде чем затронуть непосредственно вопрос о соотношении сферы банковской тайны и персональных данных гражданина, обратимся к известному несовпадению между нормами Гражданского кодекса Российской Федерации и Закона «О банках и банковской деятельности»3 (далее по тексту — Закон о банках), которое существует уже многие годы, сохраняется достаточно парадоксальным образом и имеет прямое отношение к рассматриваемой проблематике.
№ 3/2021
При этом речь не идет только о более подробном регулировании данной сферы отношений специальным законом по сравнению с Гражданским кодексом РФ, но и одновременно о более широком понимании банковской тайны как раз в рамках ГК РФ в части сведений о клиенте.
В связи с этим представляется невозможным согласиться с теми авторами, которые лишь отмечают более широкое понимание банковской тайны в Законе о банках по сравнению с ГК РФ4, но игнорируют сферу сведений о клиенте, на которые указывает именно Гражданский кодекс РФ, определяющий содержание банковской тайны в этой части шире, чем в Законе о банках.
Таким образом, данный подход не отражает непосредственное содержание норм Гражданского кодекса РФ. В частности, ст. 857, п. 1, ГК РФ закрепляет, что банк гарантирует тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте.
В силу же норм ст. 26 Закона о банках кредитная организация, Центральный Банк Российской Федерации, организация, осуществляющая функции по обязательному страхованию вкладов (Государственная корпорация «Агентство по страхованию вкладов»), гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов.
Казалось бы правоприменитель мог бы ориентироваться на правовое регулирование в рамках Закона о банках, так как банковские операции, о которых идет речь в специальном законе, понимаются на первый взгляд шире, чем операции по счету и вкладу, о которых говорится в Гражданском кодексе. Тем не менее применение норм Закона о банках оказывается недостаточным, и необходимо применение ГК РФ и Закона о банках в совокупности.
На первый план здесь выходит вопрос о так называемых сведениях о клиенте, о которых Закон о банках в данном контексте вовсе не упоминает и которые не охватываются сведениями об операциях банка или иной кредитной организации. Если учитывать, что важные изменения и дополнения вносятся в Закон о банках, в том числе в правовое регулирование банковской тайны, не редко, что может свидетельствовать о динамичности данной области в современных условиях, следует задаться вопросом, почему законодатель не привел в соответствие с Гражданским кодексом РФ Закон о банках в части распространения банковской тайны на сведения о клиенте. При этом понятие
сведений о клиенте непосредственно перекликается со сферой персональных данных. Ссылки же на соотношение данных норм в Законе о банках отсутствуют.
В современное юридической науке можно встретить расширительное толкование банковской тайны.
Например, С.С. Афанасьева относит к ней «тайну частной жизни клиента»5, что с точки зрения правовой природы сведений о клиенте, безусловно, имеет определенное основание, однако охватывает более широкую сферу жизни гражданина, чем сфера его взаимоотношений с банком или иной кредитной организацией.
Следует отметить, что все законодательно установленные исключения из банковской тайны относятся к сфере публичного интереса; это, в частности, выдача справок по операциям, счетам и вкладам граждан судам, следственным органам, Пенсионному фонду и другим органам, установленным Законом о банках, и не затрагивают вопрос о выдаче сведений о клиенте, которые включены в банковскую тайну Гражданским кодексом РФ.
Отметим, что если нормы об исключениях из банковской тайны в понимании Закона о банках, а вслед за ним и всей банковской системой Российской Федерации начиная с Центрального банка РФ не упоминают вовсе об исключениях в сфере предоставления сведений о клиенте, то Гражданский кодекс РФ стоит в регулировании данной сферы как бы особняком, при этом имея высшую юридическую силу по отношению к иному гражданскому законодательству, в том числе к Закону о банках.
Все служащие кредитной организации обязаны хранить тайну об операциях, о счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону. При этом за разглашение сведений, составляющих такую тайну, ответственность перед клиентом несет банк как сторона договорного правоотношения: договора банковского счета, банковского вклада, кредитного договора. Ответственность банка или иной кредитной организации возможна субсидиарно также в рамках причинения вреда по главе 59 ГК РФ в случае, если такой вред причинен и доказан.
Существенным является вопрос о том, могут ли сведения о клиенте, составляющие персональные данные, являться банковской тайной, либо это обособленное правовое явление. Широта формулировки понятия персональных
№ 3/2021
данных в законе, как любой информации, относящейся прямо или косвенно к определенному или определяемому физическому лицу, дает обширное поле для свободного толкования данного понятия, что не всегда является позитивным для сферы правоприменения.
Казалось бы введение нового пункта 1.1, где определяется круг персональных данных, разрешенных для распространения, должен провести четкий водораздел между дачей согласия на обработку и дачей согласие на распространение таких данных. Однако, судя по формулировке данного пункта, достаточная четкость отсутствует.
Итак, согласно п. 1.1 ст. 3 Закона о персональных данных персональные данные, разрешенные субъектом персональных данных для распространения, — это персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном законом.
С точки зрения юридической техники, формулировка не безупречна. Так, складывается впечатление, что гражданин как субъект персональных данных разрешает распространение данных, давая согласие на обработку данных. Именно этого автоматического согласия на распространение персональных данных при даче согласия на обработку и старался избежать законодатель исходя из пояснительной записки к законопроекту. Однако сконструированная норма будет вызывать разночтения, а правоприменительная практика может пойти в сторону, которую законодатель, внося изменения в Закон, не желал.
Как представляется, ситуация может привести к необходимости толкования Верховным Судом РФ данной нормы в целях обеспечения охраны прав и законных интересов граждан — субъектов персональных данных, чего можно было бы избежать, сформулировав норму юридически системно и непротиворечиво.
Основное завоевание новой редакции Закона в сфере правовой охраны прав граждан должно было, как представляется, состоять в том, что согласие на обработку персональных данных не должно охватывать теперь согласие на распространение таких данных автоматически.
Представляется, что согласие на распространение данных у гражданина должно запрашиваться отдельно. Если же мы так же, как и
ранее, будем допускать включение в общее согласие на обработку данных и согласие на их распространение, то это нисколько не приблизит цели обеспечения защиты прав и законных интересов граждан — субъектов персональных данных. Прежде всего, с гражданско-правовой точки зрения, необходимо, чтобы такое согласие было добровольным. И ни в коем случае нельзя допустить, чтобы гражданину отказывали в предоставлении услуги, если он не дает согласие на распространение своих персональных данных, а дает согласие только на их обработку.
Следует отметить, что требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, устанавливаются уполномоченным органом по защите прав субъектов персональных данных, т.е. новый п. 9 ст. 9 Закона о персональных данных относит данную сферу к подзаконному регулированию, что, думается, не является позитивным. Мы видим некоторую полумеру, когда вид согласия на распространение персональных данных в Законе обозначен, но его конкретное содержание не определено даже в общем виде. Возможно, законодателю было бы целесообразно закрепить общие требования к такому согласию, как они закреплены по отношению к согласию на обработку персональных данных.
Кроме того, так как гражданин не является профессиональным участником правоотношений, в Законе о персональных данных необходимо закрепить общий запрет на дачу согласия на обработку данных с одновременным согласием на их распространение неопределенному кругу лиц в едином документе согласия. Согласие на распространение данных должно являться отдельным документом, а в случае дачи согласия в электронном виде должно испрашиваться отдельным кликом и не должно быть обязательным условием предоставления той или иной услуги. Данный подход представляется соответствующим принципу баланса интересов участников правоотношений, так как распространение данных не является в большинстве случаев необходимым для оператора персональных данных.
Также представляется, что следует нормативно закрепить необходимость дачи отдельного согласия на трансграничную передачу персональных данных, что соответствует новой редакции Стратегии национальной безопасности Российской Федерации.
№ 3/2021
Отметим, что если регулирование банковской тайны, которую Гражданский кодекс РФ, упоминая о «сведениях о клиенте», косвенно смешивает со сферой персональных данных, все-таки достаточно определенно, то сфера персональных данных, понятие которых дано очень широко, остается не достаточно конкретным.
Банковская тайна, если исходить из позитивного регулирования ГК РФ, частично может охватывать сферу персональных данных, если мы говорим о сведениях о клиенте. Длительное время остается законодательно не решенным вопрос о соотношении данных правовых конструкций. Исключения из банковской тайны весьма конкретно сформулированы в Законе о банках. Получается, если мы рассматриваем такую составляющую банковской тайны, как сведения о клиенте, то они должны подчиняться тем же правилам, что и остальные элементы банковской тайны, такие, как тайна операций по счетам и вкладам и др.
Однако так ли это на самом деле с точки зрения конкретной правоприменительной практики и одновременного отнесения сведений о клиенте к категории персональных данных, если исходить из норм Закона о персональных данных.
Следует обратить внимание, что отсутствие четкого соотношения персональных данных и банковской тайны доставляет сложности не только в рамках защиты прав и законных интересов граждан, которые одновременно являются и клиентами банка, и субъектами персональных данных. Сложности возникают у банков и иных кредитных организаций; и так как Закон проблему данного соотношения определенно не решает, остается лишь фрагментарное регулирование данных вопросов Центральным Банком РФ.
Однако совершенно очевидно, что регулирование того или иного вопроса, осуществляемое Центробанком, как любое подзаконное регулирование, является менее устойчивым, чем федеральное законодательное регулирование, и его содержание очевидно известно банкам и иным кредитным организациям, а также юристам-профессионалам, но не гражданам — субъектам персональных данных. Оба названных фактора влекут недостаточную правовую защищенность граждан как непрофессиональных участников правоотношений.
Целесообразно задастся вопросом, возможно ли, что не отнесение сведений о клиенте к правовой категории банковской тайны Законом
о банках является намеренным? Следует ответить на этот вопрос утвердительно. При этом Гражданский кодекс РФ в регулировании банковской тайны, как и во всех иных вопросах гражданско-правового регулирования, является актом высшей юридической силы.
Важно, что гражданин, давая согласие на обработку персональных данных, являясь клиентом банка или иной кредитной организации, тем самым не делает исключение из банковской тайны, так как служащие банка обязаны хранить ее в рамках режима банковской тайны.
Сведения о клиенте, исходя из содержания норм ГК РФ и Закона о персональных данных, одновременно являются и банковской тайной, и обрабатываемыми персональными данными. Что же касается иных лиц, которые участвуют в обработке сведений о клиенте банка, на них не распространяется обязанность сохранять банковскую тайну, однако они обязаны сохранять тайну персональных данных.
Поэтому момент передачи сведений о клиенте иным лицам, не являющимся служащими банка, является ключевым с точки зрения гражданско-правового режима данных.
Проблема в правоприменении состоит в том числе и в том, что момент этот носит часто чисто технический характер. Получается, что банк, передавая сведения о клиенте третьим лицам, подключенным к обработке данных, делает исключение из банковской тайны, законом не предусмотренное. При этом банк, как и клиент, находятся с правовой точки зрения в ситуации без выбора варианта поведения. Отчасти ситуация решается через дачу согласия на обработку персональных данных.
Сложность заключается в том, что коммерческие банки привлекают третьих лиц для обработки данных независимо от того, какой вид согласия на обработку данных дал гражданин, а именно, если рассматривать действующую редакцию Закона о персональных данных, согласие дано только на обработку или также на распространение персональных данных. Так, при осуществлении консалтинга банка третьим лицом возможен доступ к персональным данным клиентов, что с точки зрения общей формулировки Закона о персональных данных относится к распространению данных, поскольку имеет место сообщение третьим лицам, причем не государственным органам, указанным в Законе.
Проблема заключается также в том, что в новой редакции Закона категория распростра-
№ 3/2021
нения персональных данных закреплена в достаточно обобщенном виде, без детальной конкретизации с учетом особенностей различных сфер правоприменения. Возможно, это и не является задачей непосредственно Закона о персональных данных, однако, безусловно, это является задачей специального законодательства, в том числе законодательства о банках.
В данном случае мы сталкиваемся с нередкой ситуацией, когда законодательство изменяется в одной достаточно общей области, а законодательство, в данном случае о банках и банковской деятельности, за ним «не успевает». Однако разрыв и отсутствие соотношения на законодательном уровне между Законом о банках и Законом о персональных данных продолжается уже в течение длительного периода, что негативно сказывается, прежде всего, на охране прав и законных интересов граждан — клиентов банка.
Банки и их юридические департаменты испытывают также сложности в своей деятельности, понимая отсутствие на законодательном уровне соотношения между сведениями о клиенте, составляющими банковскую тайну, и персональными данными гражданина.
Не только с точки зрения соблюдения баланса интересов сторон правоотношений, но и с точки зрения стабильного правового регулирования деятельности банков во взаимоотношениях с клиентами и правового обеспечения банковской деятельности, акты Центрального банка РФ не должны и не могут подменять системное федеральное законодательное регулирование, с учетом обеспечения соответствия правовых норм на стыке ряда отраслей права.
1 Агарков М.М. Основы банковского права: Курс лекций. 2-е стереотип. изд. М., 1994. С. 55.
2 Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ // ИПС «Консультант Плюс».
3 Федеральный закон «О банках и банковской деятельности» от 02.12.1990 № 395-1 (в ред. от 30.12.2020 № 495- ФЗ) // ИПС «Консультант Плюс»
4 См., напр., Крутикова Д.И. Сравнительно-правовой анализ понятий «банковская тайна» и «персональные данные» в рамках вопроса охраны информации о клиентах банка // Правовая информатика. 2013. № 3. С. 63.
5 Рощина Д.С., Афанасьева С.С. Правовое регулирование банковской тайны в Российской Федерации // Инновационная наука. 2017. № 2. С. 126—127.
Библиографический список
1. Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ // ИПС «Консультант Плюс».
2. Федеральный закон «О банках и банковской деятельности» от 02.12.1990 № 395-1 (в ред. от 30.12.2020 № 495-ФЗ) // ИПС «Консультант Плюс».
3. Агарков М.М. Основы банковского права: Курс лекций. 2-е стереотип. изд. М., 1994.
4. Крутикова Д.И. Сравнительно-правовой анализ понятий «банковская тайна» и «персональные данные» в рамках вопроса охраны информации о клиентах банка // Правовая информатика. 2013. № 3.
5. Рощина Д.С., Афанасьева С.С. Правовое регулирование банковской тайны в Российской Федерации // Инновационная наука. 2017. № 2.
№ 3/2021
