CC BY
15ВАДИМ ВИКТОРОВИЧ СУЩИК,
старший оперуполномоченный 37 одела Управления «К» БСТМ МВД России
СОВЕРШЕНСТВОВАНИЕ АДМИНИСТРАТИВНО-ПРАВОВЫХ МЕР ПРОТИВОДЕЙСТВИЯ ПРАВОНАРУШЕНИЯМ В СФЕРЕ ОХРАНЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Представлен авторский подход к совершенствованию административно-правовых мер противодействия правонарушениям в сфере охраны персональных данных. Предложены некоторые меры по совершенствованию законодательства Российской Федерации об административных правонарушениях.
Ключевые слова: персональные данные, административно-правовое регулирование, неправомерный оборот данных, утечка информации, частная жизнь, личная тайна, конфиденциальность, Интернет, информационно-телекоммуникационные сети.
V.V. Sushchik, Senior Police Operative, Section 37, Department "K", Russia MI Bureau of Special TechnicalActivitiy; e-mail: ncp-ruc@mvd.ru, tel.: 8 (495) 623-49-82.
Improving administrative and legal means for combating offences in the sphere of personal data protection.
An author's approach to improving administrative and legal means for combating offences in the sphere of personal data protection is presented. Some measures to improve Russian Federation legislation of administrative offences are suggested.
Key words: personal data, administrative and legal regulation, illegal data turnover, information leakage, private life, privacy, confidentiality, Internet, information and communication network.
Конституция Российской Федерации1, провозглашая основные права и свободы человека и гражданина, установила, что каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. При этом сбор, хранение, использование и распространение такой информации без согласия лица не допускаются.
Сферу частной жизни индивида представляется возможным определить как круг отношений или поступков лица, которые направлены на удовлетворение индивидуальных потребностей способами и средствами, непосредственно не представляющими социальной значимости2.
По гражданско-правовому смыслу (ст. 150 ГК РФ3) личная (семейная) тайна подразумевает принадлежащее гражданину личное неимущественное благо, которое является элементом правоспособности гражданина, не может отчуждаться на возмездной основе, а потому не может быть объектом имущественного оборота.
По мнению М.Н. Малеиной, тайна частной жизни обеспечивает автономию личности в обществе, сохранение индивидуальности. Тайну частной (личной) жизни составляют сведения об определенном человеке, не связанные с его
профессиональной или общественной деятельностью и дающие оценку его характеру, облику, здоровью, материальному состоянию, семейному положению, образу жизни, отдельным фактам биографии, а также его отношениям с родственниками, друзьями, знакомыми и др.4
Тайну частной жизни гражданина также составляют персональные данные, т.е. сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, за исключением сведений, подлежащих распространению в средствах массовой информации в случаях, установленных федеральными законами (п. 1 Указа Президента РФ от 6 марта 1997 г № 188)5.
В научной литературе персональные данные определяются как сведения о личности, которые включаются в информационную систему государственных, общественных и частных, корпоративных организаций по инициативе индивида или в силу закона в целях реализации его прав и обязанностей в процессе участия в различных социальных процессах и отношениях6.
В соответствии с п. 1 ст. 3 ФЗ «О персональных данных»7 персональные данные - любая информация, относящаяся к прямо или косвенно
определенному или определяемому физическому лицу (субъекту персональных данных).
Данное определение в целом соответствует общепризнанным нормам международного права, определяющим аналогичное понятие. Так, согласно Конвенции Совета Европы о защите физических лиц в отношении автоматизированной обработки данных личного характера 1981 г.8 «данные личного характера» означают любую информацию об определенном или поддающемся определению физическом лице (субъект данных).
Термин «персональные данные» широко применяется в различных нормативных правовых актах Российской Федерации.
Так, например, в предыдущей редакции ФЗ «О персональных данных» персональными данными признавалась любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
В ч. 1 ст. 84 Налогового кодекса9 Российской Федерации к персональным данным отнесены фамилия, имя, отчество, дата и место рождения, пол, место жительства, данные паспорта или иного документа, удостоверяющего личность налогоплательщика, гражданство.
В ст. 106 Таможенного кодекса таможенного союза10 (России, Казахстана, Беларуси) под персональными данными граждан понимаются фамилия, имя, отчество, дата и место рождения, пол, адрес места жительства, идентификационный номер налогоплательщика.
Статья 12 ФЗ «Об актах гражданского состояния»11 определяет в качестве персональных данных сведения, ставшие известными работнику органа записи акта гражданского состояния в связи с государственной регистрацией акта гражданского состояния.
Помимо перечисленных федеральных законов, термин «персональные данные» встречается в Воздушном кодексе Российской Федерации, ФЗ «О рынке ценных бумаг», ФЗ «Об основных гарантиях избирательных прав и права на участие в референдуме граждан Российской Федерации» и иных нормативных правовых актах.
Отсутствие исчерпывающего перечня сведений для идентификации личности приводит к множественному толкованию данного термина. В связи с этим в отношении персональных данных можно говорить как о содержании, так и об объеме сведений, относимых к таковым. При этом
объем сведений зависит от конкретного нормативного правового акта.
В соответствии со ст. 7 ФЗ «О персональных данных», а также ранее упомянутым Указом Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» персональные данные относятся к категории данных с ограниченным доступом. Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Конфиденциальность персональных данных обусловливает их соответствующую правовую охрану, в том числе путем установления юридической ответственности за неправомерный оборот.
Так, ст. 13.11 Кодекса Российской Федерации об административных правонарушениях12 (далее - КоАП РФ) закрепляет ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
С учетом данного определения законодатель четко ограничил ответственность за неправомерный оборот персональных данных только незаконным сбором, хранением, использованием или распространением персональных данных.
При этом под распространением персональных данных согласно ст. 3 ФЗ «О персональных данных» понимаются действия, направленные на раскрытие персональных данных неопределенному кругу лиц. В то же время в Законе не раскрывается сущность сбора, хранения и использования персональных данных; они включены лишь в качестве составных частей понятия обработки персональных данных.
В случае если персональные данные граждан незаконно собираются или распространяются в качестве одной из составляющих сведений о частной жизни лица, то ответственность может предусматриваться по ст. 137 (Нарушение неприкосновенности частной жизни) и ст. 138 (Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений) Уголовного кодекса Российской Федерации (далее - УК РФ)13.
Повсеместное внедрение информационных технологий, а также внесение изменений в действующее законодательство в области правового регулирования отношений, связанных с обработкой персональных данных, в том числе в информационно-телекоммуникционных сетях, обусловливают необходимость внесения соот-
ветствующих изменении в институт защиты конфиденциальной информации.
Одна статья КоАП РФ (13.11), а также потенциально применимые ст. 137-138 УК РФ в области охраны персональных данных граждан, на взгляд автора, недостаточны для эффективного противодействия правонарушениям, связанным с неправомерным оборотом персональных данных.
По данным аналитического отчета компании «InfoWatch», в 2011 г 92,4% всех утечек корпоративной информации и конфиденциальных данных пришлось на персональные данные, что на 3,1% меньше, чем в 2010 г. Отчасти такая высокая доля персональных данных среди утечек, по мнению компании «InfoWatch», определяется законодательными требованиями (в некоторых государствах. - Прим. авт.) о публикации инцидентов, связанных с подобными утечками. Другой частью правды является то, что ликвидные персональные данные интересны широкому кругу злоумышленников, так как их можно сбыть на черном рынке. Коммерческая или государственная тайны обычно утекают «на заказ» и представляют собой единичные случаи. По-настоящему массовыми становятся инциденты, где данные ликвидны и могут быть проданы за деньги широкому кругу покупателей14.
Исследуя проблемы ответственности за незаконные действия с информацией, И.Р. Бегишев полагает, что ограничение оборота цифровой информации, заведомо добытой преступным путем, является ключевым фактором противодействия преступлениям в сфере информационных технологий15.
Постоянные предложения приобрести различные базы данных свидетельствуют о том, что продажа конфиденциальных сведений о гражданах и юридических лицах стала отдельным видом бизнеса. Если очередная опубликованная база для граждан является просто еще одним малоприятным фактом обнародования сведений об их частной жизни, то на некоторых предприятиях это может отрицательно повлиять на бизнес. Например, для оператора сотовой связи распространение базы биллинга может обернуться существенным оттоком абонентов к более надежному оператору-конкуренту. Поэтому оператору подчас экономически более выгодно найти «производителя», подготовившего украденную базу к продаже, и выкупить весь тираж. Но проблема перекрытия возможных утечек остается весьма актуальной16.
В настоящее время одна из наиболее современных классификаций утечек информации представлена А.А. Хоревым17. Основными формами утечки информации являются:
разглашение сведений ограниченного доступа; утрата носителя информации, приведшая к разглашению сведений ограниченного доступа; хищение носителя информации; перехват информации ограниченного доступа с использованием технических средств;
несанкционированный доступ к информации. В целях совершенствования института ответственности за неправомерный оборот персональных данных органами государственной власти предпринимались отдельные попытки реформирования законодательства Российской Федерации об административных правонарушениях.
Например, в связи с принятием ФЗ от 19 декабря 2005 г. «О ратификации Конвенции Совета Европы о защите физических лиц в отношении автоматизированной обработки данных личного характера» был подготовлен пакет поправок в законодательство Российской Федерации в части, касающейся установления правил обработки персональных данных в различных сферах деятельности, а также установления ответственности за нарушение таких правил. С учетом поправок главу 13 КоАП РФ предлагалось дополнить пятью новыми составами:
обработка персональных данных без согласия субъекта персональных данных (с квалифицирующими признаками);
незаконная обработка специальных категорий персональных данных;
нарушение установленного порядка трансграничной передачи персональных данных;
нарушение права субъекта персональных данных на доступ к своим персональным данным (с квалифицирующими признаками);
нарушение порядка представления сведений для целей ведения реестра операторов персональных данных18.
Однако эти инициативы так и не были претворены в жизнь.
Другой попыткой защиты субъектов персональных данных стала подготовка Министерством связи и массовых коммуникаций Российской Федерации в соответствии с поручением Президента Российской Федерации по итогам встречи с представителями интернет-сообщества 29 апреля 2011 г. и поручением Аппарата Правительства Российской Федерации от 28 марта 2012 г. № П39-13215 поправок к проекту федерального закона № 217355-4 «О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона „О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" и Федерального закона „О персональных данных"». Согласно дан-
ным поправкам ст. 13.11 КоАП РФ предлагается изложить в следующей редакции:
«Статья 13.11. Нарушение установленных законом условий обработки персональных данных или прав субъекта персональных данных.
Нарушение установленных законом условий обработки персональных данных или прав субъекта персональных данных - влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей».
Комментируя поправки, ведущий эксперт по информационной безопасности «1^оМа1сИ» В. Здор отмечает, что «...как обычно, эти поправки не вносят каких-либо изменений в законопроект, кроме перспектив дополнительной бумажной волокиты в виде письменных согласий абонентов и клиентов на обработку их персональной информации. Как и где эти письменные согласия будут храниться, каким образом они будут привязаны к записям ПДн в различных системах, остается загадкой. Также непонятна их роль (письменных согласий) в случае расследования инцидентов утечки или утери ПДн»19.
Один из методов противодействия умышленным кражам секретной информации заключается в необходимости затруднить сбыт конфиденциальной информации, сделать невыгодным ее хищение «на продажу», усилить законодательную базу. Тогда посягательства на эти данные могут значительно сократиться20.
На взгляд автора, при рассмотрении вопроса о приведении института ответственности за неправомерный оборот конфиденциальной информации, в том числе персональных данных, в соответствие с реалиями сегодняшнего дня заслуживает внимания вопрос об установлении административной ответственности за перехват информации.
Под перехватом информации следует понимать неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информационных сигналов (сигналов, по параметрам которых может быть определена защищаемая информация). При этом перехват информации может осуществляться в следующих видах: перехват информации, обрабатываемой техническими средствами; перехват разговоров, ведущихся в выделенных (защищаемых) помещениях; перехват информации, передаваемой по каналам связи; скрытое видеонаблюдение и съемка объектов.
Носителем перехватываемой информации
может быть как физическое лицо, так и материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
В рамках взаимоотношений между абонентами и операторами связи (провайдерами интернет-услуг) также встречаются случаи, в которых может возникнуть угроза безопасности персональных данных.
Использование «cookies» в качестве механизма негласного сбора информации об абоненте следует рассматривать особо. «Cookies» используются в работе почтовых серверов, для оформления заказов в онлайн-магазинах, при настройке индивидуального профиля зарегистрированного пользователя, учете количества показов и проходов сквозь баннеры и т.д.
Системы статистики, например «SpyLog», позволяют составлять точные профили посетителей сайта. При первом обращении пользователя к любой странице, на которой находится счетчик «SpyLog», пользователю записываются cookies», а компьютеру в данной конфигурации присваивается уникальный номер. Впоследствии, когда пользователь проходит по другим страницам, на которых также находится счетчик «SpyLog», весь путь пользователя по таким страницам отслеживается. Собранная информация хранится в базе данных и в любой момент может быть предоставлена для анализа. Аналогично рассматривают информацию и другие счетчики. В отчетах не представлена персональная информация, но статистические системы имеют возможности для сбора данных, позволяющих идентифицировать пользователей и составлять их досье.
На российских серверах крайне редко встречается предупреждение об использовании cookies». Как правило, указание на это содержится в инструкции по изменению браузера для разрешения приема «TOokies»21.
В связи с этим целесообразно, по мнению автора, рассмотрение вопроса о признании противоправным сбора данных посредством cookies» в проекции установления административной санкции с наложением на соответствующего провайдера интернет-услуг обязанности предоставлять сведения о содержащейся в cookies» информации и указывать возможности дальнейшего использования полученных данных.
Другим типичным примером неправомерного оборота персональных данных является их распространение в информационно-телекоммуникационных сетях. Так, например, зайдя на вебсайт www.nomer.org, по фамилии, имени и отче-
ству искомого физического лица можно получить информацию (бесплатно) о месте его жительства, дате рождения, а также номере телефона, что, безусловно, является распространением информации о гражданах России в нарушение установленного законом порядка, так как очевидно, что ни один из них своего согласия на обработку персональных данных не давал. Сложность привлечения администратора данного сайта к ответственности состоит в том, что указанный ресурс постоянно изменяет техническую площадку своего физического расположения (хостинг), причем в зарубежном сегменте сети Интернет, поэтому получение информации о нем крайне затруднительно и требует уже международного сотрудничества.
Встречаются случаи функционирования аналогичных сайтов, но предоставляющих получение персональных данных о других гражданах за небольшую плату. Как правило, после оплаты пользователь сети Интернет никаких персональных данных граждан не получает, но свои деньги он обратно уже не возвратит. В зависимости от обстоятельств такие действия администратора сайта могут быть квалифицированы как мелкое хищение (ст. 7.27 КоАП РФ) или как мошенничество (ст. 159 УК РФ). Кроме того, имеют место случаи, когда на подобных «поисковых» электронных ресурсах содержится вредоносное программное обеспечение. Поэтому вместо получения информации пользователь сети Интернет может сам стать жертвой незаконного сбора принадлежащей ему конфиденциальной информации или заражения его компьютера вирусной программой.
Согласно постановлению Правительства Российской Федерации от 16 марта 2009 г. № 22822 Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных. При осуществлении полномочий Роскомнадзор вправе привлекать к административной ответственности лиц, виновных в нарушении требований ФЗ «О персональных данных», а также направлять в правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью.
В то же время дело об административном правонарушении, предусмотренном ст. 13.11
КоАП РФ, возбуждается не иначе как прокурором (ч. 1 ст. 28.4 КоАП РФ), а рассматривается - судом (ч. 1 ст. 23.1 КоАП).
По мнению автора, такой подход не в полной мере оправдывает себя, так как именно Роскомнадзор, а не прокуратура является специализированным федеральным органом исполнительной власти по контролю и надзору за соответствием обработки персональных данных требованиям законодательства.
В связи с изложенным актуальным является рассмотрение вопроса о необходимости внесения изменений в КоАП РФ в части, касающейся наделения органов по надзору в сфере связи, информационных технологий и массовых коммуникаций полномочиями по составлению протокола об административном правонарушении, предусмотренном ст. 13.11 КоАП РФ.
В заключение отметим, что правоотношения в области охраны персональных данных не стоят на месте, а динамично развиваются. Об этом говорят, в частности, последние изменения в ФЗ «О персональных данных», распространившие сферу его регулирования на информационно-телекоммуникационные сети. Развитие современных информационных технологий в сфере оборота персональных данных, с одной стороны, совершенствует соответствующие правоотношения, а с другой - упрощает жизнь злоумышленникам, вовлеченным в противоправную деятельность.
Распространение баз данных с конфиденциальной информацией, оказание псевдоуслуг по получению данных о других гражданах в сети Интернет, негласный сбор данных с помощью «cookies» при доступе к веб-сайтам заставляют пересмотреть вопрос адекватного реагирования государства на вновь возникающие негативные явления.
Робкие попытки со стороны заинтересованных ведомств изменить ситуацию говорят о недостаточности предпринимаемых мер, а также о неполном понимании складывающейся ситуации государственными органами.
В связи с этим целесообразно задуматься о внесении необходимых изменений в законодательство Российской Федерации, которые бы устанавливали новые, современные и эффективные санкции за незаконный оборот конфиденциальной информации. Должна осуществляться дифференциация с учетом критерия общественной опасности. По мнению автора, наиболее продуктивным представляется совершенствование административного законодательства, так как административный процесс не предусматривает проведения таких трудоемких действий, как оперативно-розыскные мероприятия и следствен-
ные действия при раскрытии и расследовании преступлений соответственно, а также не позволяет оперативно воздействовать на лиц, совершивших противоправные действия.
1 Собрание законодательства РФ. 2009. № 4. Ст. 445.
2 Суховерхий В.Л. Личные неимущественные права граждан в советском гражданском праве: Автореф. дис. ... канд. юрид. наук. - Свердловск, 1970. С. 11.
3 Собрание законодательства РФ. 1994. № 32. Ст. 3301.
4 Малеина М.Н. Личные неимущественные права граждан: понятие, осуществление, защита. 2-е изд., испр. и доп. - М., 2001. С. 153-183.
5 Российская газета. 1997. № 51. 14 мар.
6 Бачило И. Персональные данные в сфере бизнеса // Закон. 2002. № 12. С. 26-27.
7 Российская газета. 2006. № 165. 29 июля.
8 Сборник документов Совета Европы в области защиты прав человека и борьбы с преступностью. - М.: СПАРК, 1998. С. 106-114.
9 Российская газета. 1998. № 148-149. 6 авг.
10 Собрание законодательства РФ. 2010. № 50. Ст. 6615.
11 Российская газета. 1997. № 224. 20 нояб.
12 Российская газета. 2001. № 256. 31 дек.
13 Собрание законодательства РФ. 1996. № 25. Ст. 2594.
14 URL: http://www.infowatch.ru/sites/default/files/report/ InfoWatch_global_ data_ leakage_report_2011.pdf
15 Бегишев И.Р. Проблемы ответственности за незаконные действия с информацией, заведомо добытой преступным путем // Бизнес и безопасность в России: Журнал. 2010. № 56.
16 Там же.
17 Хорев А.А. Классификация угроз безопасности информации // Бизнес и безопасность в России: Журнал. 2010. № 56.
18 Забудько Ю.С. Организация контроля исполнения требований по защите персональных данных // Документальная электросвязь: Аналитический информационный журнал. 2008. № 19.
19 URL: http://www.infowatch.ru/analytics/legislation_news/
2683
21 URL: http://www.infowatch.ru/sites/default/files/report/ InfoWatch_global_data_ leakage_report_2011.pdf
22 Трофимов Ю.И. Правовая охрана баз данных операторов электросвязи: Дис. ... канд. юрид. наук. - Омск, 2008.
23 Российская газета. 2009. № 49. 24 мар.
