Персональные данные как информация ограниченного доступа: проблемы правового регулирования

О.С. СОКОЛОВА,

преподаватель юридического факультета Вологодского государственного педагогического университета

Бурное развитие информационных технологий привело к появлению информации, содержащей данные о конкретном лице. Сбор, обработка, использование, хранение этих данных осуществляются, например, в финансовой и налоговой сферах, в сфере пенсионного, социального и медицинского страхования, в оперативно-розыскной деятельности, в трудовой и других областях общественной жизни. Персональные данные являются неотъемлемой частью информационных ресурсов всех уровней — от федерального до муниципальных образований. Интенсивно формируется институт персональных данных как важная составляющая информационного права России.

Основой регулирования правоотношений в сфере персональных данных являются положения ст. 24 Конституции РФ, которые устанавливают, что без согласия лица не допускаются сбор, хранение, использование и распространение информации о его частной жизни. Конституционной обязанностью органов государственной власти и органов местного самоуправления, их должностных лиц является обеспечение возможности каждому ознакомиться с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Среди соответствующих международно-правовых норм следует отметить ст. 8 Конвенции по защите прав человека и основных свобод (ETS № 5), допускающую необходимое в демократическом обществе вмешательство в частную жизнь лица только в интересах национальной безопасности и общественного порядка, экономического благосостояния страны, в целях предотвращения беспорядков или преступлений, для охраны здоровья или нравственности или защиты прав и свобод других лиц (такое вмешательство предусмотрено законом).

Впервые персональные данные как вид документированной информации ограниченного доступа были определены в Федеральном законе от 25.02.95 г. № 24-ФЗ «Об информации, информатизации и защите информации» (в наст. время — в ред. от 10.01.2003 г.; далее — Закон об информации). К таким данным относятся сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность. Как информация ограниченного доступа, персональные данные относятся к категории конфиденциальных сведений, что определено не только в Законе об информации, но и в Указе Президента РФ от 06.03.97 г. № 188, утвердившем Перечень сведений конфиденциального характера. Не являются персональными данными и, следовательно, конфиденциальной информацией данные о лице, подлежащие распространению в средствах массовой информации в установленных законами случаях.

В редакции Закона об информации от 10.01.2003 г. положение ст. 11 о деятельности негосударственных организаций и частных лиц, связанных с обработкой и предоставлением пользователям персональных данных, исключено. Установлено, что сбор, хранение, использование и распространение персональных данных, содержащих личную, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, допускается только с согласия лица либо на основании судебного решения. Новеллой в вышеуказанной редакции является положение об ответственности юридических и физических лиц, владеющих персональными данными, за нарушение режима защиты, обработки и порядка использования этой информации. Законом об информации также закреплены основные права граждан в отношении их персональных данных: это право на доступ к соответствующей информации, на ее уточнение в целях обеспечения полноты и достоверности, на получение сведений о ее использовании. Обязанностями владельцев персональных данных (документированных) является обеспечение соблюдения режима обработки соответствующей информации и правил предоставления информации пользователю.

Институт персональных данных в российском информационном праве формируется за счет норм об информации определенного вида, содержащихся в различных федеральных законах. Объем сведений, позволяющий идентифицировать лицо, определяется в них по-разному. Так, например, Федеральным законом от 07.08.2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем» (в ред. от 30.10.2002 г.) к персональным данным отнесены сведения о документе, удостоверяющем личность, адрес места жительства или пребывания личности. Аналогичные указания содержатся и в Федеральном законе от 01.04.96 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» (в ред. от 31.12.2002 г.). Персональными данными в соответствии с Федеральным законом от 15.11.97 г. № 143-ФЗ «Об актах гражданского состояния» (в ред. от 08.12.2003 г.) считаются любые сведения, ставшие известными работнику органа записи актов гражданского состояния при регистрации актов гражданского состояния. В ст. 387 новой редакции Таможенного кодекса РФ, вступившей в силу 1 января 2004 г., предусмотрено право таможенных органов накапливать в отношении физических лиц персональные данные и данные о частоте перемещения ими товаров через границу.

Детально регламентированы правоотношения по поводу персональных данных работника в Трудовом кодексе РФ (глава 14). Объем персональных данных определяется здесь очень широко: это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Она может быть получена только у самого работника или, с его письменного согласия, у третьих лиц. Установлен запрет на получение и обработку персональных данных о политических, религиозных, иных убеждениях работника и о его частной жизни. Данные о членстве его в общественных объединениях или о его профсоюзной деятельности могут собираться, обрабатываться и использоваться только в случаях, установленных законом. Трудовой кодекс РФ содержит также нормы о порядке передачи персональных данных работника: мероприятия по защите данной информации от неправомерного использования или утраты осуществляются за счет средств работодателя. Впервые в Трудовом кодексе РФ (и в российском законодательстве вообще) вводится такое понятие, как «персональные данные оценочного характера». Работник имеет право дополнить их заявлением, выражающим его (работника) собственную точку зрения в отношении такой информации.

Отдельные группы персональных данных могут приобретать правовой режим другого вида информации ограниченного доступа — государственной тайны. Это, в частности, касается персональных данных государственных служащих, внесенных в личные дела и документы учета, на что указано в Федеральном законе от 27.05.2003 г. № 58-ФЗ «О системе государственной службы в Российской Федерации» (в ред. от 11.11.2003 г.).

Особенно остро стоит вопрос в отношении сбора и использования персональных данных в оперативно-розыскной деятельности. Подтверждение этому — Определение Конституционного суда РФ от 14.07.98 г. № 86-О1, которое в свое время широко комментировалось. Хотя заявление истца о признании не соответствующими Конституции РФ ряда положений Федерального закона от 12.08.95 г. № 144-ФЗ «Об оперативно-розыскной деятельности» (в ред. от 30.06.2003 г.; далее — Закон об ОРД) не было удовлетворено, сразу несколько судей КС РФ в своем особом мнении выразили позицию, признающую противоречивость и двусмысленность отдельных норм Закона об ОРД, касающихся сбора данных о частной жизни лица. Для предоставления дополнительной гарантии прав лиц, являющихся объектами (в том числе потенциальными) оперативно-розыскных мероприятий, в 1999 году ст. 5 Закона об ОРД была дополнена положением, устанавливающим, что при проведении таких мероприятий соответствующие органы (должностные лица) должны обеспечивать соблюдение прав человека и гражданина на неприкосновенность частной жизни, жилища, личную и семейную тайну, тайну корреспонденции. Следует отметить, что в указанной статье установлено право лица, в отношении которого проводились оперативно-розыскные мероприятия (если оно располагает фактами об этом) и виновность которого не доказана в установленном законом порядке, если это лицо полагает, что при этом были нарушены его права, истребовать сведения о полученной о нем информации (в пределах, допускаемых требованиями о конспирации и исключающих возможность разглашения государственной тайны).

Практически во всех законах, содержащих нормы о персональных данных, имеются общие положения об ответственности должностных и иных лиц, владеющих персональными данными, за нарушение режима ограниченного доступа и конфиденциальности в отношении такой информации. Гражданско-правовая ответственность за нарушение нематериальных благ — неприкосновенности частной жизни, личной и семейной тайны и др. — предусмотрена в ст. 150 Гражданского кодекса РФ. Лицо, чьи неимущественные права нарушены, вправе требовать компенсации морального вреда и возмещения убытков. Защита осуществляется и иными способами (ст. 12 ГК РФ). Кодекс РФ об административных правонарушениях содержит новый для данной отрасли законодательства состав правонарушения — это ст. 13.11, предусматривающая ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Уголовное законодательство России не предусматривает специального состава преступления, объектом которого являются правоотношения по поводу персональных данных, однако соответствующие противоправные действия могут охватываться составами статей о преступлениях в сфере компьютерной информации либо составами должностных преступлений. Противоправные действия в отношении персональных данных могут также квалифицироваться как нарушение неприкосновенности частной жизни либо нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Однако необходимость введения соответствующей специальной уголовной ответственности объективно существует.

Законом об информации предусмотрена обязательная сертификация информационных систем, баз и банков данных, предназначенных для информационного обслуживания граждан и организаций. Порядок сертификации определяется соответствующим Постановлением Правительства РФ от 26.06.95 г. № 608 (в ред. от 29.03.99 г.). Деятельность по технической защите конфиденциальной информации подлежит лицензированию в порядке, установленном Постановлением Правительства РФ от 30.04.2002 г. № 290 (в ред. от 06.02.2003 г.). Органом исполнительной власти, осуществляющим лицензирование указанного вида деятельности, является Гостехкомиссия при Президенте РФ[2].

Дальнейшее развитие института персональных данных в информационном праве России трудно представить без специального закона. Проект закона «О персональных данных» уже был представлен в Государственную думу РФ. Представляется, что было бы полезно учесть опыт, который имеется в соответствующем законодательстве зарубежных стран. Так, в Германии право на защиту персональных данных закреплено на конституционном уровне. В Великобритании Актом о защите данных установлен правовой статус персональных данных и основополагающие принципы их обработки. Практически во всех европейских государствах, а также в США, Австралии, Японии и ряде других стран действуют коллегиальные органы, являющиеся негосударственными структурами, в чьи функции входит защита прав субъектов правоотношений по поводу персональных данных и рассмотрение конфликтных ситуаций в этой сфере. Регулярно проводятся международные совещания уполномоченных по защите персональных данных, возглавляющих эти органы[3].

Отсутствие систематизированного законодательства в сфере персональных данных и специального закона создает состояние правовой незащищенности от несанкционированного доступа к такой информации. На сегодняшний день в российском законодательстве отсутствует и классификация персональных данных, хотя попытка их дифференциации имеет место быть — например, в Трудовом кодексе РФ, где речь идет о так называемых оценочных персональных данных. Между тем зарубежный опыт свидетельствует о целесообразности разделения соответствующей информации на две группы: данные общего характера и особая категория персональных данных, которая определяется как «данные чувствительного свойства» и к которой относится информация о расовом происхождении, политических убеждениях, конфессиональной принадлежности, состоянии здоровья, личных пристрастиях и т.д. Персональные данные второй группы должны иметь особый режим защиты и больший уровень конфиденциальности. Сбор, обработка и использование этих данных должны осуществляться только в силу необходимости. Что касается субъектов правоотношений по поводу персональных данных, то, возможно, в число их можно включить и корпоративные объединения, не имеющие статуса юридического лица, как это сделано в ряде западных стран[4].

Многократно возрастающий объем информации ограниченного доступа, в том числе и персональных данных, требует особой ответственности при решении вопросов регулирования соответствующих правоотношений. Исходным принципом при этом должно стать обеспечение информационной безопасности гражданина, защита его личных прав в условиях информатизации общества[5]. Использование персональных данных должно служить основной задаче — повышению эффективности функционирования основных институтов государственной власти, поскольку высшая цель государства, закрепленная в Конституции РФ, — признание, соблюдение и защита прав и свобод человека и гражданина.

Библиография

1 «По делу о проверке конституционности отдельных положений Федерального закона “Об оперативно-розыскной деятельности” по жалобе гражданки И.Г. Черновой».

2 См.: Калайда И.А., Попов Ю.Г. О лицензировании деятельности по технической защите конфиденциальной информации // Вопросы защиты информации. 2003. № 1. С. 54.

3 См.: Черешкин Д.С., Курило А.П. О проблеме защиты персональных данных в Российской Федерации // Проблемы информатизации. 1995. № 1. С. 33.

4 См.: Сергиенко Л.А. Правовая защита персональных данных. Цели и принципы правового регулирования // Проблемы информатизации. 1995. № 1. С. 37.

5 См.: Лопатин В.Н. Правовые проблемы защиты единого информационного пространства страны. Информация и государство // Вопросы защиты информации. 2001. № 2. С. 17.