CC BY
255
Вестник Санкт-Петербургского университета МВД России № 2 (54) 2012
Информационные технологии
УДК 004.056.5
H.B. Бугель*, А.В. Никулин**
Защита персональных данных как объект организационно-правового регулирования
Статья посвящена вопросам организационно-правового регулирования оборота и защиты персональных данных в Российской Федерации. Авторами проводится анализ положений Федерального закона Российской Федерации от 25 июля 2011 г. № 261-ФЗ «О внесении изменений в Федеральный закон “О персональных данных”». Рассматривается перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных», порядок сертификации и аттестации информационных систем.
Ключевые слова: персональные данные, защита персональных данных, защищенность персональных данных, информационные системы.
N.V. Bugel*, A.V. Nikulin**. The Protection of personal data as the object of law regulations.
Authors have analyzed the Federal Law of Russia Federation № 261 25.07.2011 which regulates the order of certification and attestation of information systems.
Keywords: personal data, personal data protection, protection of personal data, information system.
Современный этап развития отношений общества и государства характеризуется исключительной емкостью различного характера сведений, относящихся к разным сферам человеческой деятельности. Важно и то, что общечеловеческая практика и возможности современных информационных и коммуникационных технологий в своей совокупности объективно позволяют и формируют необходимость сбора, хранения, использования и распространения информации, поскольку последняя представляет собой сведения об окружающем мире и процессах, протекающих в нем, которые воспринимаются человеком или специальными приборами. Характерно, что с каждым годом перечень оснований и поводов для сбора новых данных увеличивается. Наблюдается все возрастающая потребность граждан в защите личной информации. Граждане начинают не только воспринимать информацию о себе как ценность, которую необходимо беречь, но и понимать, где они могут получить реальную помощь и поддержку в отстаивании своих прав в сфере персональных данных.
В связи с этим возникают вопросы правовой регламентации хранения, защиты информации, а также ответственности за ее незаконное разглашение. По нашему представлению особую значимость приобретает реализация задачи по защите прав и свобод человека и гражданина при обработке его персональных данных, в том числе защите прав на неприкосновенность частной жизни, личной и семейной тайне.
* Бугель, Николай Васильевич, начальник кафедры финансов и налогообложения Санкт-Петербургского университета МВД России, доктор юридических наук, профессор, заслуженный юрист Российской Федерации. Санкт-Петербургский университет МВД России. Адрес: Россия, 198206, г. Санкт-Петербург, ул. Летчика Пилютова, д. 1. Тел.: 714-29-20. n.v.bugel@gmail.com.
** Никулин, Алексей Владимирович, заместитель начальника методического отдела управления учебно-методической работы Санкт-Петербургского университета МВД России. Санкт-Петербургский университет МВД России. Адрес: Россия, 198206, г. Санкт-Петербург, ул. Летчика Пилютова, д. 1. Тел.: 744-13-62. E-mail: alexei.nikuiin@gmail.com.
* Bugel, Nikolay, the head of the finance and taxation department of the Saint Petersburg University of the Ministry of Internal Affairs of Russia, doctor of legal sciences, professor. Address: Russia, 198206, St.-Petersburg, Pilyutov str., 1.
** Nikulin, Alexey, deputy chief of methodical office of the education department of the Saint Petersburg University of the Ministry of Internal Affairs of Russia. Address: Russia, 198206, St.-Petersburg, Pilyutov str., 1.
© Бугель Н.В., Никулин А.В., 2012
Ст. 24 Конституции Российской Федерации запрещает сбор, хранение, использование и распространение информации о частной жизни лица без его согласия, а также обязывает органы государственной власти, органы местного самоуправления, их должностных лиц обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы.
Персональные данные представляют собой средство идентификации конкретного человека, т.е. выделяют его из множества на основе комплекса достоверно установленных идентификационных признаков.
Современные технические средства позволяют производить сбор и обработку существенных объемов социально значимых сведений, необходимых для эффективного функционирования государственных механизмов, протекания общественных процессов, а также реализации прав человека. Всеобъемлющее развитие информационных технологий предоставляет возможность получать доступ и использовать различные виды данных практически неограниченному кругу субъектов информационных отношений. Информатизация всех сфер общественных отношений значительно упрощают утечку и иные формы незаконного доступа к информации персонального характера. Названные обстоятельства ставят задачу обеспечить ее правовой защиты.
Как показывает практика, обеспечение защиты персональных данных остается серьезной проблемой в обществе и государстве. Именно правовая регламентация указанных отношений является основным направлением деятельности государства в области совершенствования системы государственных гарантий конституционных прав и свобод человека и гражданина в информационной сфере.
Принятый в июле 2006 г. Федеральный закон «О персональных данных» [1], является первой попыткой правового регулирования отношений, возникающих в сфере оборота персональных данных. Указанный закон регулирует отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, иными муниципальными органами, юридическими лицами и физическими лицами с использованием средств автоматизации, в т.ч. в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным [1, ст. 1].
Однако законодатель изначально отложил срок вступления в силу требований, касающихся технической защиты информационных систем персональных данных, до 1 января 2010 г. Впоследствии законодатель дважды продлевал этот срок, и в последний раз — до 1 июля 2011 г. Федеральный закон от 25 июля 2011 г. № 261-ФЗ «О внесении изменений в Федеральный закон “О персональных данных”» [2], внесший поправки в 152-ФЗ, фактически превратил его в новый закон.
Новая редакция устранила все возможные ограничения в толковании термина «персональные данные». Так, к персональным данным относится любая информация, касающаяся конкретного физического лица [1, ст. 3].
Одна из наиболее значимых статей закона — ст. 6, претерпела также существенные изменения. Фактически в новой редакции закона приведен исчерпывающий перечень случаев обработки персональных данных. Значимо и то, что в статье приведен расширенный список ситуаций, при которых не требуется получение согласия на обработку персональных данных от субъектов персональных данных. Например, в случаях, когда обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
Другим важным нововведением стало закрепление в законе термина «лицо, осуществляющее обработку персональных данных по поручению оператора», под которым понимается лицо, которому поручают только обработку персональных данных [1, ст. 6.3—6.5].
Новая редакция закона фактически закрепляет обязательную сертификацию средств защиты информации и аттестацию информационных систем. Обязательная сертификация средств защиты информации в контексте положений ст. 19.2.3—19.2.4 на практике может привести к излишней бюрократизации, поскольку потребует сертификации конкретных экземпляров системы защиты информации, что, в свою очередь, вызовет необоснованное увеличение стоимости процедуры для потребителя. Обязательная аттестация информационных систем по своей сути схожа с сертификацией, но, в отличие от сертификации, включает в себя оценку не средств защиты, а помещений, в которых находится информационная система, задействованная в обработке персональных данных. Следовательно, любое изменение средств защиты, информационной инфраструктуры, существенных условий, определяющих параметры помещения и расположения информационных систем, приведет к необходимости повторения процедуры аттестации и сертификации.
Вестник Санкт-Петербургского университета МВД России № 2 (54) 2012
Вестник Санкт-Петербургского университета МВД России №9 2 (54) 2012
Информационные технологии
В настоящее время граждане имеют право требовать возмещения морального вреда и убытков в случае потери, утечки, передачи персональной информации или нарушения правил ее обработки. Уместно заметить, что речь идет не только об органах государственной и муниципальной власти, но и сотнях тысяч организаций и учреждений, в т.ч. образовательных, учреждений здравоохранения, жилищно-коммунальной сферы, а также страховых компаний, банков, туристических агентствах, пенсионных и инвестиционных фондах и т.д. Следовательно, операторы персональных данных обязаны как установить правила доступа к персональным данным, регистрацию всех действий, совершаемых с информацией, так и фиксировать факты несанкционированного доступа, а также восстановления потерянной информации, которая может быть повреждена или уничтожена в результате взлома или хакерской атаки. В своей деятельности они также должны оценивать вред, который может быть причинен гражданам, и соблюдать установленные уполномоченными органами государственной власти технические требования по защите информации. В этих целях операторы персональных данных обязаны использовать только определенные сертифицированные приборы и программы, одобренные соответствующими силовыми структурами, а именно Федеральной службой безопасности (ФСБ) и Федеральной службой по техническому и экспортному контролю (ФСТЭК). На указанные органы государственной власти возложена обязанность контролировать выполнение новых требований. При этом за невыполнение установленных требований виновные могут понести административную ответственность, а также лишаться лицензий.
Классификации уровней защиты информации отнесена к компетенции Правительства Российской Федерации, а требования к защите установят ФСБ и ФСТЭК. При этом нам представляется, что уровень защиты исключительно связан с уровнем защищенности персональных данных, поскольку последнее выступает в качестве основного критерия, определяющего степень реализации соответствующего уровня защиты информации, т.е. под уровнем защищенности персональных данных следует понимать эффективность реализации мер по защите информации при их обработке в информационных системах. В свою очередь, в качестве угроз безопасности персональных данных выступает условия и факторы, которые могут создавать возможность несанкционированного доступа к персональным данным.
Диалектика деятельности, связанная с определением уровня защищенности персональных данных включает в себя комплекс взаимосвязанных и взаимообусловленных функций. К их числу, по нашему мнению, следует отнести: анализ сведений, относящихся к информационной системе; классификацию последней; определение моделей возможных угроз; документальное оформление установленного уровня защищенности персональных данных.
Представляется, что одним из самых сложных и трудно реализуемых на практике функций по защищенности персональных данных следует отнести разработку моделей возможных угроз и потенциальных категорий нарушителей, что обусловлено практически бесконечным многообразием информационных систем, а также постоянным развитием информационных технологий и программного обеспечения. На практике, по всей видимости, будет возникать постоянная необходимость разработки и использования новых моделей угроз.
Считаем, что такого рода механизм обеспечит предотвращение утечки информации, защиту сведений от случайного доступа, уничтожения, изменения, блокирования, копирования, распространения.
Значимым для граждан является, то, что их согласие на обработку информации персональных данных о них может быть дано теперь в произвольной форме. Также нововведением является то, что вопрос, какими способами и технологиями осуществлять сохранность данных, выбирает оператор.
Помимо этого, новая редакция Федерального закона вводит понятие биометрических персональных данных. При этом прерогатива их хранения и использования отнесена в основном к компетенции органов государственной власти. Вместе с тем закон устанавливает необходимость письменного согласия на сбор и дальнейшее использование биометрических данных. К их числу относятся индивидуальные рисунки на пальцах рук и сетчатке глаза.
В настоящее время законодатель вводит понятие трансграничной передачи персональных данных, т.е. передачи их операторам других стран. Согласно ст. 12 Федерального закона «О персональных данных», оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления трансграничной передачи персональных данных. Важно и то, что законодатель закрепил право гражданина на получение сведений о своих персональных данных. Кроме того, он имеет право потребовать убрать информацию о себе из базы коммерческого оператора.
Таким образом, общественные отношения, связанные с оборотом персональных данных, представляют собой одну из групп информационных правоотношений. Особенность их правового регулирования связана с предметом — информацией ограниченного доступа, призванной идентифицировать физических лиц (персональными данными). Регулирование обособленной группы рассматриваемых общественных отношений достигается посредством целого комплекса разных по юридической силе правовых норм. Кроме того, фактически устанавливается приоритет специальных правовых норм, закрепленных нормативными правовыми актами, которые призваны обеспечить оборот отдельных видов информации ограниченного доступа, перед общими нормами, установленными Федеральным законом «О персональных данных».
Федеральный закон «О персональных данных» обязывает обеспечить всеми организациями и физическими лицами на территории Российской Федерации требуемый уровень безопасности персональных данных. Лица, виновные в нарушении требований, несут предусмотренную законодательством Российской Федерации ответственность.
Постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 [3] определен перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами. В их обязанности входит реализация целого комплекса мер, начиная от назначения ответственного за организацию обработки персональных данных, утверждение актом уполномоченного руководителя правила обработки персональных данных, определения перечня информационных систем персональных данных, перечня перечни персональных данных, обрабатываемых в учреждении и заканчивая утверждением должностных инструкций ответственных за организацию обработки персональных данных, и различных типовых форм. Следует отметить, что указанное Постановление вступило в силу 7 апреля текущего года.
В настоящее время в системе образовательных учреждений профессионального образования повсеместно внедряются информационные системы, осуществляющие обработку персональных данных, призванные обеспечить оперативное управление в части делопроизводства, бухгалтерского, материального, кадрового учетов и т.д. Названные учреждения должны выполнять требования законодательства о защите персональных данных участников образовательного процесса в первую очередь, т.к. речь идет о защите сведений, незаконное использование которых может серьезно отразиться на правах граждан. По своей сути защита персональных данных образовательным учреждением является неотъемлемой составляющей права на уважение частной жизни человека, которое может быть ограничено только в предусмотренных пределах и при определенных условиях. В более широком смысле защита персональных данных представляет собой комплекс мер технического, организационного, организационно-технического и правового характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу — субъекту персональных данных, в качестве которых выступают кандидаты на учебу, обучающиеся, преподавательский состав, вспомогательный состав и т.д.
Исходя из содержания нормативных правовых актов, определяющих механизм обработки и систему защиты персональных данных считаем, что в образовательных учреждениях профессионального образования прежде всего необходимо: определить (уточнить) состав и категории обрабатываемых персональных данных; в зависимости от последствий нарушений заданной характеристики безопасности персональных данных в информационных системам определить их соответствие установленным классам; провести комплекс необходимых организационно-технических мероприятий для обеспечения защиты персональных данных, обрабатываемых без использования средств автоматизации, а также информационных систем, обрабатывающих персональные данные.
Таким образом, деятельность в сфере обработки и защиты персональных данных является актуальной, поскольку связана с обеспечением защиты прав и свобод человека и гражданина, в т.ч. защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Система современных отношений свидетельствует, что на практике операторы персональных данных далеко не всегда соответствуют тем критериям, которые установлены действующим законодательством, и способны обеспечить необходимый уровень защищенности персональных данных.
Положения Федерального закона «О персональных данных» закрепляют механизм по обеспечению порядка обработки и защиты персональных данных. При этом законодатель закрепил систему четких принципов оборота персональных данных, систему надзора за соблюдением законодательства в указанной сфере, а также установил баланс интересов участников информационного оборота.
Список литературы
1. Федеральный закон от 27 июля 2006 г. № 152-ФЗ (в редакции от 25 июля 2011 г.) «О персональных данных». — [Электронный ресурс]: Доступ из справ.-правовой системы «Консультант плюс» (дата обращения: 15.04.2012).
2. Федеральный закон от 25 июля 2011 г. № 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных». — [Электронный ресурс]: Доступ из справ.-правовой системы «Консультант плюс» (дата обращения: 15.04.2012).
3. Постановление Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом “О персональных данных” и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами». — [Электронный ресурс]: Доступ из справ.-правовой системы «Консультант плюс» (дата обращения: 15.04.2012).
Вестник Санкт-Петербургского университета МВД России №9 2 (54) 2012
