Отечественный опыт
УДК 004.056 ББК 73
© 2015 г. С. В. Гуде,
П. В Арбузов, А. Г. Карпика
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ В РОССИЙСКОЙ ФЕДЕРАЦИИ: ИСТОРИЧЕСКИЙ АСПЕКТ И СОВРЕМЕННОЕ СОСТОЯНИЕ
В статье на историческом материале рассматриваются вопросы защиты персональных данных в Российской Федерации. Рассмотрены особенности защиты различных видов персональных данных с точки зрения права. Акцентировано внимание на проблеме защиты данных, собираемых с помощью технических средств.
Ключевые слова: персональные данные, защита информации, автоматизация обработки данных.
PERSONAL DATA PROTECTION IN THE RUSSIAN FEDERATION: HISTORICAL ASPECTS AND CURRENT CONDITION
The article deals with the historical background of the personal data protection in the Russian Federation. The features of the various types ofprotection ofpersonal data from the point of view of the law. The attention is focused on the problem of protecting the data collected by technical means. Keywords: personal data, information protection, automated data processing.
Важнейшей современной тенденцией развития информационного общества является возрастание интереса к персонифицированной информации вообще и к персональным данным (ПД) в частности. Основными предпосылками этого стали: автоматизация обработки данных в информационных системах различного назначения, развитие рынка «интернета вещей», создание различными компаниями центров обработки данных (ЦОД), формирующих так называемые «большие данные» в региональном и глобальном масштабе. Эти процессы протекают на фоне конкурентной борьбы, связанной со стремлением оказать влияние на субъекта персональных данных с целью получения преимуществ в современном мире.
Кроме этого, не следует забывать о деятельности криминальных структур, направленной на получение доступа к активам отдельных физических лиц, государственных, либо частных организаций. Важным фактором, способствующим реализации этих намерений, является беспечное отношение большинства граждан к сохранности личных данных. Результатом подобных действий может стать (и становится) несанкционированный доступ злоумышленников к информации, об-
народование которой способно существенно ухудшить качество жизни субъекта данных. Сообщения в СМИ о подобных событиях в настоящее время приобрели привычный характер [3], в связи с чем проблема защиты ПД в современных условиях становится актуальнейшей задачей. История ее возникновения и исторические этапы решения являются базой современного законодательства о персональных данных, развитие которой на фоне международных и исторических этапов вполне закономерно и логично. В современной России особую актуальность вопросы защиты ПД приобрели в организациях, обрабатывающих большие массивы данных. К ним, в частности, относятся: система образования, медицинские учреждения, разрешительные и контролирующие органы. Отдельные вопросы, связанные с безопасностью ПД при реализации дистанционных образовательных технологий, рассмотрены в специальной литературе [4; 5] .
Основополагающие права гражданина России, касающиеся защиты сведений личного характера, содержатся в Конституции Российской Федерации (ст. 24). Так, статья 24 п.1 устанавливает права, запрещающие сбор, хранение, использова-
Юристг-Правок^дъ, 2015, № 2 (69)
ние и распространение информации о частной жизни лиц без их согласия, а п. 2 обязывает органы государственной власти и органы местного самоуправления и их должностные лица обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. В этом смысле Конституцию РФ по праву можно считать первоисточником, закрепляющим соответствующее право гражданина и устанавливающим необходимость уважения частной и семейной жизни. Эта сфера в современных условиях признается настолько актуальной и важной, что в последние 10 лет развивается практически как отдельная отрасль законодательства.
К личным данным российское законодательство причисляет любую информацию, относящуюся к определенному (или определяемому на основании такой информации) физическому лицу -субъекту ПД. Такими данными, в частности, являются: фамилия, имя, отчество, год, месяц, дата и место рождения. Сюда же могут быть отнесены: адрес проживания, семейное, социальное, имущественное положение, полученное образование, профессия, получаемые доходы и др. Перечень ПД не является исчерпывающим: он может включать любую другую информацию, позволяющую идентифицировать личность человека.
Проблема защиты ПД возникла не так давно.
Само понятие появилось вместе с понятием конституционных прав и свобод гражданина. Дальнейшее развитие понятия «персональные данные» получило вместе с правом на неприкосновенность частной жизни. Это право впервые в качестве юридической категории появилось в Соединенных Штатах Америки в 90-х годах XIX века. В английском языке частная жизнь обозначается термином «privacy» («прайвеси» - приватность). Впервые этот термин был сформулирован известными американскими юристами Сэмюэлем Уорреном и Луисом Брандейсом. Их вариант формулировки гласил «the right to be alone», что может быть переведено как «право быть предоставленным самому себе». Они утверждали, что приватность подвергается опасности со стороны технических новшеств и методов ведения бизнеса, и обосновывали необходимость создания специального «права приватности». Этот тезис вполне справедлив и для нашего времени. Наличие разнообразных технических и программных средств, собирающих данные о пользователе, повышает актуальность «права приватности» в эпоху «больших данных». Принятая в США концепция приватности оказала существенное влияние на становление современной системы прав и свобод человека [1].
Применительно к Российской Федерации важнейшие этапы утверждения права приватности представлены в таблице 1.
Таблица 1
Год, страна Событие Подробности
1966, СССР Ратификация Международного пакта о гражданских и политических правах
1977, СССР Принятие новой Конституции СССР Статьи 54-56 - неприкосновенность личности, жилища, а также охрана законом личной жизни, тайны переписки, телефонных переговоров и телеграфных сообщений. Ст. 57 - уважение личности, охрана прав и свобод граждан - обязанность всех государственных органов, общественных организаций и должностных лиц
1991, СССР Принята «Декларация прав и свобод человека и гражданина» В Декларации предусматривается запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия
1995, РФ Принят Федеральный закон «Об инфор мации, информатизации и защите информации» от 20 февраля 1995 г. № 24-ФЗ -Законодательно закреплено понятие персональных данных
2006, РФ Принятие Федерального закона «О пер сональных данных» от 27.07.2006 г. №152-ФЗ
В настоящее время общепринятая практика в области защиты ПД заключается в разумном сочетании интересов личности, государства, общества и бизнеса. Это сочетание является необходимым компромиссом в деле обеспечения обоснованности и выполнимости принятых требований. Указанное в полной мере реализуется в законодательстве РФ, которые, как правило, включают требование по обеспечению защиты ПД.
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее № 152-ФЗ) ПД определяет как «любую информацию, относящуюся к определенному, или определяемому на основании такой информации физическому лицу, в том числе его фамилию, имя, отчество, год, месяц, дату и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессию, доходы и другую информацию». При этом ПД рассматриваются как конфиденциальная информация, а само понятие «персональные данные» и порядок доступа к ним является единым и неизменным на всей территории Российской Федерации. Это означает, что субъекты РФ не имеют права его изменять собственными законодательными актами.
Законодательство расценивает действия по обработке ПД как фактор, оказывающий существенное влияние на неприкосновенность частной жизни, личную и семейную тайну. В соответствии со ст. 7 № 152-ФЗ «операторы и иные лица, получившие доступ к ПД, обязаны не раскрывать третьим лицам и не распространять ПД без согласия их субъекта, если иное не предусмотрено федеральным законом». Тем самым гарантируется конфиденциальность ПД, что означает законодательное обеспечение режима их тайны.
Правовые механизмы регулируют обычное правовое состояние объектов права и вводят исключения из общего правила. На исключительность правового режима может быть указано прямо в законе, либо «исключительность может вытекать из смысла закона» [2]. В случае с ПД приоритетом можно считать сохранение их тайны, а исключения составляют режим общедоступности ПД и режим государственной тайны. Так, в п. 2 ст. 8 Закона № 152-ФЗ предусмотрено, что «сведения о субъекте ПД могут быть в любое время исключены из общедоступных источников по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов».
Персональные данные относятся к разряду чрезвычайно распространенной информации. Их распространенность иллюстрируется наличием таковых практически в любом документе: пас-
порте, пропуске на рабочее место, страховом полисе, паспорте транспортного средства, наличием в различных списках, составляемых в коммерческих и государственных организациях. Кроме того, они, как правило, входят во все юридические, либо финансовые документы, например, в договор о купле-продаже, в доверенности, договоры об оказании банковских услуг, договоры об оказании коммунальных услуг и т. п.
Другого рода информацией, которая также относится к защищаемым законом ПД, являются биометрические ПД. К таким данным № 152-ФЗ относит сведения, характеризующие антропологические и физиологические особенности человека. Уже в течение 150 лет общепризнано, что на основе этих данных можно установить личность субъекта данных. К подобным сведениям законодательство относит: рост, отпечатки пальцев, цвет и характер сетчатки глаза, различные отклонения в развитии, видимые травмы и т. п. В последнее время к этому добавились и результаты анализа ДНК.
Современная тенденция компьютеризации всех аспектов деловой и личной жизни субъекта данных породила новые возможности идентификации личности без его ведома и прямого на то согласия. Подобные идентификационные сведения, как правило, касаются авторизационных параметров технических и программных средств, находящихся в постоянном, либо регулярном контакте с человеком. Особенности информационных технологий предполагают, что удаленно может быть получена информация о таких параметрах, как IP адрес устройства, MAC адрес сетевой платы, посредством которой выполняется подключение к сети передачи данных, идентификатор SIM карты сотового оператора, IMEI любого устройства, использующего для подключения к сети мобильной связи. На первый взгляд указанные устройства напрямую не персонифицируют своего владельца, но в совокупности с дополнительной информацией, несомненно, позволяют установить владельца средства связи, круг его интересов, знакомых и, в конечном счете -личность. Так, общеизвестно, что для установления личности с заданной точностью достаточно произвести несколько звонков с телефона, обеспеченного даже незарегистрированной сим картой. В данном случае налицо ситуация, когда отдельные элементы «больших данных» могут не позволить установить личность и не считаются ПД (тот же IP адрес компьютера), но в совокупности с информацией об интернет-ресурсах, посещенных с этого адреса, номерах телефона, на которые были выполнены звонки, вполне возмож-
Юристг-Правов^дъ, 2015, № 2 (69)
но получить информацию, которая может быть отнесена к ПД.
Таким образом, к персональным данным целесообразно отнести следующие сведения:
- количество, время посещений отдельных сайтов;
- 1Р-адрес, присвоенный сетевому устройству (фиксированный, или динамический);
- сочетание 1Р-адреса с другими данными для привязки к определенному пользователю;
- идентификатор сим карты, либо 1МЕ1 мобильного устройства связи в совокупности с перечнем телефонных номеров, на которые были сделаны, либо с которых были получены звонки.
Вместе с тем существует некоторая неоднозначность, характеризующая личную информацию. При этом очевидно, что информация личного характера должна определяться гораздо шире чем «персональные данные». Сравним различные виды личных документов с целью однозначного понимания этого определения: документы личного характера (личный документ) и сведения, которые характеризуются как персональные данные. Для сравнения целесообразно использовать следующие параметры: уровень индивидуализации; объем сведений; содержание сведений; источник закрепления.
Согласия на обработку персональных данных (ПД) не требуется
Обработка осуществляется на основании действующего федерального закона
Регистрация избирателя на избирательном участке
Оораоотка осуществляется для статистических или нных научных целей при условии обязательного обезличивания ПД
Маркетинговые исследования
ПД необходимы для доставки почтовых отправлений, для осуществления операторами электросвязи расчетов с потребителями
Рассылка корреспонденции, счетов оплаты
Исполнение договора, одной из сторон которого является субъект персональных данных
Договор займа физического лица
Обработка необходима для защиты жизни, здоровья или иных жизненно важных
интересов самого субъекта ПД: если получение согласия субъекта ПД
Субъект ПД находится в тяжёлом состоянии
Осуществляется в целях профессиональной деятельности журналиста либо е целях научной, литературной или иной творческой деятельности
Освещение в СМИ судебного процесса
Для ПД: подлежащих опубликованию в соответствии с федеральными законами. б том числе ПД лиц, замещающих государственные должности.
Сведения о доходах кандидатов для участия в выборах
Рис. 1. Ситуации, не требующие согласия на обработку ПД
Уровень индивидуализации ПД достаточно высок для того, чтобы физическое лицо однозначно могло быть идентифицировано на их основании. При этом никакой другой, не относящейся напрямую к конкретному лицу информации, в них не содержится. Документы личного характера могут содержать и иную информацию, и тогда они становятся личными только потому, что ими обладает отдельное лицо.
Персональные данные в процессе взаимодействия физического лица и общества, в котором он находится, постоянно собираются, хранятся и обрабатываются. Этот процесс может носить добровольный характер (сведения добровольно передаются лицом в обрабатывающую ПД организацию), либо принудительный. Последнее характерно для случаев, когда предоставление подобных сведений обязательно в соответствии с действующим законодательством.
Документ личного характера может быть изъят лицом - владельцем документа из документооборота. Кроме того, подобный документ может быть изъят на основании закона (например, закона, регулирующего авторское право).
В отличие от ПД, имеющих дробную структуру, распределенную по различным организациям, личный документ представляет собой единое целое. Форма может варьироваться (текст, изображение, звукозапись, видеозапись и т. п.), но единство личного документа всегда остается. Примеры: свидетельство о рождении, аттестат о среднем образовании. Из подобных документов могут быть извлечены персональные данные, например дата рождения, перечень заболеваний. Подобные данные имеют определенную ценность и, безусловно, являются объектом защиты со стороны действующего законодательства.
В соответствии с законом № 152-ФЗ обработка ПД может осуществляться только с согласия субъектов таких данных. Вместе с тем законодательство устанавливает случаи, когда согласия лица на обработку ПД не требуется. Для удобства восприятия эти случаи представлены в виде инфограммы (рис. 1).
В российском законодательстве установлены административная и уголовная ответственность оператора, обрабатывающего персональные данные, определены особенности обработки специальных категорий указанных данных. Данные,
входящие в эти категории, по сути, также являются исключениями из общего режима. Порядок их обработки, как правило, регламентирован более жестко и, кроме того, обусловлен большим числом ограничений и запретов.
Подобный подход вполне оправдан, поскольку специальные категории ПД касаются наиболее значимых для любого человека сведений, например, религиозных и политических убеждений, расовой и национальной принадлежности, состояния здоровья и т. п.
Таким образом, законодательство Российской Федерации устанавливает правила обработки различных категорий ПД, обеспечивающие защиту прав граждан и устанавливающие необходимость уважения частной и семейной жизни. При этом наиболее важным среди них является наличие согласия субъекта ПД на обработку данных.
Исключения из этого правила предусматриваются только федеральными законами. Субъект ПД, давший согласие на их обработку, может его отозвать. Порядок отзыва не предполагает объяснения причин этого решения субъектом и выполнения каких-либо условий. Достаточно уведомить оператора персональных данных о принятом решении.
Литература
1. Корейво Е. В. Права человека в международно-правовых актах: проблемы дефиниро-вания // Международное публичное и частное право. 2010. № 1.
2. Терещенко Л. К. К вопросу о правовом режиме информации // Информационное право. 2011. № 1.
3. Евросоюз защитит право граждан «быть забытыми» в век Интернета // URL: http://www. pravo.ru/interpravo/practice/view/52669/.
4. Арбузов П. В., Гуде С. В. Информационная образовательная среда как средство реализации дистанционных образовательных технологий в вузах МВД России // Научно-методический журнал Волгоградской академии МВД России. Волгоград, 2013. Вып. 3.
5. Арбузов П. В., Гуде С. В., Карпика А. Г. Вопросы интеграции информационных ресурсов вузов МВД России в ИСОД // Юристъ-Правоведъ. Ростов н/Д, 2014. Вып. 2.