Персональные данные как информация ограниченного доступа: проблемы правового регулирования
ПРОБЛЕМЫ ПРАВОВОГО РЕГУЛИРОВАНИЯ
О.С.
СОКОЛОВА
О.С. Соколова, преподаватель
юридического факультета Вологодского
государственного педагогического
университета.
Бурное развитие
информационных технологий привело к
появлению информации, содержащей данные о
конкретном лице. Сбор, обработка,
использование, хранение этих данных
осуществляются, например, в финансовой и
налоговой сферах, в сфере пенсионного,
социального и медицинского страхования, в
оперативно-розыскной деятельности, в
трудовой и других областях общественной
жизни. Персональные данные являются
неотъемлемой частью информационных
ресурсов всех уровней - от федерального до
муниципальных образований. Интенсивно
формируется институт персональных данных
как важная составляющая информационного
права России.
Основой регулирования
правоотношений в сфере персональных данных
являются положения ст. 24 Конституции РФ,
которые устанавливают, что без согласия
лица не допускаются сбор, хранение,
использование и распространение
информации о его частной жизни.
Конституционной обязанностью органов
государственной власти и органов местного
самоуправления, их должностных лиц
является обеспечение возможности каждому
ознакомиться с документами и материалами,
непосредственно затрагивающими его права и
свободы, если иное не предусмотрено
законом. Среди соответствующих
международно-правовых норм следует
отметить ст. 8 Конвенции по защите прав
человека и основных свобод (ETS N 5),
допускающую необходимое в демократическом
обществе вмешательство в частную жизнь
лица только в интересах национальной
безопасности и общественного порядка,
экономического благосостояния страны, в
целях предотвращения беспорядков или
преступлений, для охраны здоровья или
нравственности или защиты прав и свобод
других лиц (такое вмешательство
предусмотрено законом).
Впервые
персональные данные как вид
документированной информации
ограниченного доступа были определены в
Федеральном законе от 20.02.1995 N 24-ФЗ "Об
информации, информатизации и защите
информации" (в наст. время - в ред. от 10.01.2003;
далее - Закон об информации). К таким данным
относятся сведения о фактах, событиях и
обстоятельствах жизни гражданина,
позволяющие идентифицировать его личность.
Как информация ограниченного доступа,
персональные данные относятся к категории
конфиденциальных сведений, что определено
не только в Законе об информации, но и в
Указе Президента РФ от 06.03.1997 N 188,
утвердившем Перечень сведений
конфиденциального характера. Не являются
персональными данными и, следовательно,
конфиденциальной информацией данные о
лице, подлежащие распространению в
средствах массовой информации в
установленных законами случаях.
В
редакции Закона об информации от 10.01.2003
положение ст. 11 о деятельности
негосударственных организаций и частных
лиц, связанных с обработкой и
предоставлением пользователям
персональных данных, исключено.
Установлено, что сбор, хранение,
использование и распространение
персональных данных, содержащих личную,
семейную тайну, тайну переписки, телефонных
переговоров, почтовых, телеграфных и иных
сообщений, допускаются только с согласия
лица либо на основании судебного решения.
Новеллой в вышеуказанной редакции является
положение об ответственности юридических и
физических лиц, владеющих персональными
данными, за нарушение режима защиты,
обработки и порядка использования этой
информации. Законом об информации также
закреплены основные права граждан в
отношении их персональных данных: это право
на доступ к соответствующей информации, на
ее уточнение в целях обеспечения полноты и
достоверности, на получение сведений о ее
использовании. Обязанностями владельцев
персональных данных (документированных)
является обеспечение соблюдения режима
обработки соответствующей информации и
правил предоставления информации
пользователю.
Институт персональных
данных в российском информационном праве
формируется за счет норм об информации
определенного вида, содержащихся в
различных федеральных законах. Объем
сведений, позволяющий идентифицировать
лицо, определяется в них по-разному. Так,
например, Федеральным законом от 07.08.2001 N
115-ФЗ "О противодействии легализации
(отмыванию) доходов, полученных преступным
путем" (в ред. от 30.10.2002) к персональным
данным отнесены сведения о документе,
удостоверяющем личность, адрес места
жительства или пребывания личности.
Аналогичные указания содержатся и в
Федеральном законе от 01.04.1996 N 27-ФЗ "Об
индивидуальном (персонифицированном) учете
в системе обязательного пенсионного
страхования" (в ред. от 31.12.2002). Персональными
данными в соответствии с Федеральным
законом от 15.11.1997 N 143-ФЗ "Об актах
гражданского состояния" (в ред. от 08.12.2003)
считаются любые сведения, ставшие
известными работнику органа записи актов
гражданского состояния при регистрации
актов гражданского состояния. В ст. 387 новой
редакции Таможенного кодекса РФ,
вступившей в силу 1 января 2004 г.,
предусмотрено право таможенных органов
накапливать в отношении физических лиц
персональные данные и данные о частоте
перемещения ими товаров через границу.
Детально регламентированы правоотношения
по поводу персональных данных работника в
Трудовом кодексе РФ (глава 14). Объем
персональных данных определяется здесь
очень широко: это информация, необходимая
работодателю в связи с трудовыми
отношениями и касающаяся конкретного
работника. Она может быть получена только у
самого работника или, с его письменного
согласия, у третьих лиц. Установлен запрет
на получение и обработку персональных
данных о политических, религиозных, иных
убеждениях работника и о его частной жизни.
Данные о членстве его в общественных
объединениях или о его профсоюзной
деятельности могут собираться,
обрабатываться и использоваться только в
случаях, установленных законом. Трудовой
кодекс РФ содержит также нормы о порядке
передачи персональных данных работника:
мероприятия по защите данной информации от
неправомерного использования или утраты
осуществляются за счет средств
работодателя. Впервые в Трудовом кодексе РФ
(и в российском законодательстве вообще)
вводится такое понятие, как "персональные
данные оценочного характера". Работник
имеет право дополнить их заявлением,
выражающим его (работника) собственную
точку зрения в отношении такой
информации.
Отдельные группы
персональных данных могут приобретать
правовой режим другого вида информации
ограниченного доступа - государственной
тайны. Это, в частности, касается
персональных данных государственных
служащих, внесенных в личные дела и
документы учета, на что указано в
Федеральном законе от 27.05.2003 N 58-ФЗ "О системе
государственной службы в Российской
Федерации" (в ред. от 11.11.2003).
Особенно
остро стоит вопрос в отношении сбора и
использования персональных данных в
оперативно-розыскной деятельности.
Подтверждение этому - Определение
Конституционного Суда РФ от 14.07.1998 N 86-О
<*>, которое в свое время широко
комментировалось. Хотя заявление истца о
признании не соответствующими Конституции
РФ ряда положений Федерального закона от
12.08.1995 N 144-ФЗ "Об оперативно-розыскной
деятельности" (в ред. от 30.06.2003; далее - Закон
об ОРД) не было удовлетворено, сразу
несколько судей КС РФ в своем особом мнении
выразили позицию, признающую
противоречивость и двусмысленность
отдельных норм Закона об ОРД, касающихся
сбора данных о частной жизни лица. Для
предоставления дополнительной гарантии
прав лиц, являющихся объектами (в том числе
потенциальными) оперативно-розыскных
мероприятий, в 1999 году ст. 5 Закона об ОРД
была дополнена положением,
устанавливающим, что при проведении таких
мероприятий соответствующие органы
(должностные лица) должны обеспечивать
соблюдение прав человека и гражданина на
неприкосновенность частной жизни, жилища,
личную и семейную тайну, тайну
корреспонденции. Следует отметить, что в
указанной статье установлено право лица, в
отношении которого проводились
оперативно-розыскные мероприятия (если оно
располагает фактами об этом) и виновность
которого не доказана в установленном
законом порядке, если это лицо полагает, что
при этом были нарушены его права,
истребовать сведения о полученной о нем
информации (в пределах, допускаемых
требованиями о конспирации и исключающих
возможность разглашения государственной
тайны).
--------------------------------
<*> "По
делу о проверке конституционности
отдельных положений Федерального закона
"Об оперативно-розыскной деятельности" по
жалобе гражданки И.Г.
Черновой".
Практически во всех законах,
содержащих нормы о персональных данных,
имеются общие положения об ответственности
должностных и иных лиц, владеющих
персональными данными, за нарушение режима
ограниченного доступа и
конфиденциальности в отношении такой
информации. Гражданско-правовая
ответственность за нарушение
нематериальных благ - неприкосновенности
частной жизни, личной и семейной тайны и др.
- предусмотрена в ст. 150 Гражданского
кодекса РФ. Лицо, чьи неимущественные права
нарушены, вправе требовать компенсации
морального вреда и возмещения убытков.
Защита осуществляется и иными способами
(ст. 12 ГК РФ). Кодекс РФ об административных
правонарушениях содержит новый для данной
отрасли законодательства состав
правонарушения - это ст. 13.11,
предусматривающая ответственность за
нарушение установленного законом порядка
сбора, хранения, использования или
распространения информации о гражданах
(персональных данных). Уголовное
законодательство России не
предусматривает специального состава
преступления, объектом которого являются
правоотношения по поводу персональных
данных, однако соответствующие
противоправные действия могут
охватываться составами статей о
преступлениях в сфере компьютерной
информации либо составами должностных
преступлений. Противоправные действия в
отношении персональных данных могут также
квалифицироваться как нарушение
неприкосновенности частной жизни либо
нарушение тайны переписки, телефонных
переговоров, почтовых, телеграфных и иных
сообщений. Однако необходимость введения
соответствующей специальной уголовной
ответственности объективно существует.
Законом об информации предусмотрена
обязательная сертификация информационных
систем, баз и банков данных,
предназначенных для информационного
обслуживания граждан и организаций.
Порядок сертификации определяется
соответствующим Постановлением
Правительства РФ от 26.06.1995 N 608 (в ред. от
29.03.1999). Деятельность по технической защите
конфиденциальной информации подлежит
лицензированию в порядке, установленном
Постановлением Правительства РФ от 30.04.2002 N
290 (в ред. от 06.02.2003). Органом исполнительной
власти, осуществляющим лицензирование
указанного вида деятельности, является
Гостехкомиссия при Президенте РФ <*>.
--------------------------------
<*> См.: Калайда И.А.,
Попов Ю.Г. О лицензировании деятельности по
технической защите конфиденциальной
информации // Вопросы защиты информации. 2003.
N 1. С. 54.
Дальнейшее развитие института
персональных данных в информационном праве
России трудно представить без специального
закона. Проект закона "О персональных
данных" уже был представлен в
Государственную Думу РФ. Представляется,
что было бы полезно учесть опыт, который
имеется в соответствующем
законодательстве зарубежных стран. Так, в
Германии право на защиту персональных
данных закреплено на конституционном
уровне. В Великобритании Актом о защите
данных установлен правовой статус
персональных данных и основополагающие
принципы их обработки. Практически во всех
европейских государствах, а также в США,
Австралии, Японии и ряде других стран
действуют коллегиальные органы, являющиеся
негосударственными структурами, в чьи
функции входит защита прав субъектов
правоотношений по поводу персональных
данных и рассмотрение конфликтных ситуаций
в этой сфере. Регулярно проводятся
международные совещания уполномоченных по
защите персональных данных, возглавляющих
эти органы <*>.
--------------------------------
<*> См.: Черешкин Д.С., Курило А.П. О
проблеме защиты персональных данных в
Российской Федерации // Проблемы
информатизации. 1995. N 1. С. 33.
Отсутствие
систематизированного законодательства в
сфере персональных данных и специального
закона создает состояние правовой
незащищенности от несанкционированного
доступа к такой информации. На сегодняшний
день в российском законодательстве
отсутствует и классификация персональных
данных, хотя попытка их дифференциации
имеет место быть - например, в Трудовом
кодексе РФ, где речь идет о так называемых
оценочных персональных данных. Между тем
зарубежный опыт свидетельствует о
целесообразности разделения
соответствующей информации на две группы:
данные общего характера и особая категория
персональных данных, которая определяется
как "данные чувствительного свойства" и к
которой относится информация о расовом
происхождении, политических убеждениях,
конфессиональной принадлежности,
состоянии здоровья, личных пристрастиях и
т.д. Персональные данные второй группы
должны иметь особый режим защиты и больший
уровень конфиденциальности. Сбор,
обработка и использование этих данных
должны осуществляться только в силу
необходимости. Что касается субъектов
правоотношений по поводу персональных
данных, то, возможно, в число их можно
включить и корпоративные объединения, не
имеющие статуса юридического лица, как это
сделано в ряде западных стран <*>.
--------------------------------
<*> См.: Сергиенко
Л.А. Правовая защита персональных данных.
Цели и принципы правового регулирования //
Проблемы информатизации. 1995. N 1. С.
37.
Многократно возрастающий объем
информации ограниченного доступа, в том
числе и персональных данных, требует особой
ответственности при решении вопросов
регулирования соответствующих
правоотношений. Исходным принципом при
этом должно стать обеспечение
информационной безопасности гражданина,
защита его личных прав в условиях
информатизации общества <*>.
Использование персональных данных должно
служить основной задаче - повышению
эффективности функционирования основных
институтов государственной власти,
поскольку высшая цель государства,
закрепленная в Конституции РФ, - признание,
соблюдение и защита прав и свобод человека
и гражданина.
--------------------------------
<*> См.: Лопатин В.Н. Правовые проблемы
защиты единого информационного
пространства страны: Информация и
государство // Вопросы защиты информации.
2001. N 2. С. 17.
ССЫЛКИ НА ПРАВОВЫЕ АКТЫ
"КОНСТИТУЦИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ"
(принята всенародным голосованием
12.12.1993)
"ГРАЖДАНСКИЙ КОДЕКС РОССИЙСКОЙ
ФЕДЕРАЦИИ (ЧАСТЬ ПЕРВАЯ)" от 30.11.1994 N 51-ФЗ
(принят ГД ФС РФ 21.10.1994)
ФЕДЕРАЛЬНЫЙ ЗАКОН
от 20.02.1995 N 24-ФЗ
"ОБ ИНФОРМАЦИИ,
ИНФОРМАТИЗАЦИИ И ЗАЩИТЕ ИНФОРМАЦИИ"
(принят ГД ФС РФ 25.01.1995)
ФЕДЕРАЛЬНЫЙ ЗАКОН
от 12.08.1995 N 144-ФЗ
"ОБ ОПЕРАТИВНО-РОЗЫСКНОЙ
ДЕЯТЕЛЬНОСТИ"
(принят ГД ФС РФ
05.07.1995)
ФЕДЕРАЛЬНЫЙ ЗАКОН
