Мудрый Юрист

Персональные данные как термин российского законодательства

Бундин М.В., ассистент кафедры конституционного и административного права юридического факультета Нижегородского государственного университета им. Н.И. Лобачевского.

В последнее время уже многое сказано о проблеме персональных данных - относительно новом правовом институте информационного права, который еще пока находится в стадии формирования в российском законодательстве и практике. Тем не менее трудности остаются, причем не только в регулировании вопросов обработки персональных данных, но и в самом значении термина.

В российской правовой науке трактовки понятия персональных данных были даны неоднократно, и во многом они очень схожи. В частности, можно назвать определение О.Б. Просветовой, где "персональные данные - это сведения о фактах, событиях, и обстоятельствах жизни физического лица, его семьи, а также позволяющие отождествить их с конкретным индивидом и отражающие особенности последнего по отношению к другим людям (обществу)" <1>. Другим примером может служить определение, данное одним из наиболее авторитетных специалистов в области информационного права В.Н. Лопатиным: "...персональные данные - информация (зафиксированная на любом носителе) о конкретном человеке, которая отождествляется или может быть отождествлена с ним" <2>. Безусловно, можно найти и другие определения, но в основном все очень близкие по смыслу и структуре к определению, данному законодателем.

<1> Просветова О.Б. Защита персональных данных: Дис. ... канд. юрид. наук. М., 2005. С. 27 - 28.
<2> Бачило И.Л., Лопатин В.Н., Федотов М.А. Информационное право. СПб.: Юридический центр Пресс, 2005. С. 244.

В российском законодательстве оно появляется одновременно с аналогичным понятием "информация о гражданах" в Федеральном законе "Об информации, информатизации и защите информации" <3>, которое справедливо критиковалось, хотя бы за упоминание в качестве субъекта персональных данных исключительно граждан. С принятием Федерального закона "О персональных данных" <4> (далее - Закон) трактовка понятия персональных данных несколько изменилась, но принципиально и в этом определении стоит отметить по-прежнему две основные характеристики (критерия) персональных данных, о которых далее и пойдет речь.

<3> См.: Федеральный закон от 20 февраля 1995 г. N 24-ФЗ "Об информации, информатизации и защите информации" // Российская газета. 1995. 22 фев.
<4> См.: Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" // Российская газета. 2006. 29 июля.

Во-первых, персональные данные были четко названы информацией, т.е. одной из разновидностей информации. С одной стороны, это очевидно и понятно, с другой - может вызвать некоторое недопонимание. В большинстве случаев, давая определение сложным категориям, обозначенным терминами по типу "существительное + прилагательное", оно строится через исходную категорию, обозначенную существительным, тогда как в описываемом случае используется более широкий термин, хоть и синонимичный. В действительности проблема терминологии в системе объектов информации отмечена уже давно в трудах И.Л. Бачило <5> и, по-видимому, еще далека от решения. Иначе самым простым решением было бы обратиться к термину "данные" и назвать их отличительные особенности именно как персональных данных. Но, к сожалению, законодательного определения данных попросту не существует, как, впрочем, и не существует доктринального единого определения данных как разновидности объекта информации. Тем не менее значение термина "данные" в общеупотребительной лексике двояко, в частности, толковый словарь дает нам следующее <6>:

<5> См.: Бачило И.Л. Информация и информационные отношения в праве // НТИ. Сер. 1. 1999. N 8.
<6> См.: Ожегов С.И. Словарь русского языка // URL: http://slovar.plib.ru/dictionary/d19/9033.html.
  1. Данные - информация (сведения, сообщения), необходимые для производства с ней определенных действий, т.е. ее обработки. В этом случае термин не имеет какого-либо специального значения и употребляется как синоним слова "информация" в целом.
  2. Данные как специальный термин в информатике, обозначающий информацию (сведения, сообщения) в определенном упорядоченном и формализованном виде, подготовленную для обработки с помощью средств автоматизации, технических средств (ЭВМ).

В таком случае возникает ощущение, что законодатель, как и многие авторы, существенно расширяет значение термина, употребляя его в "широком", первом из названных выше значений. Справедливо было в таком случае использовать и термин "персональная информация", поскольку специального значения термину "данные" в большинстве существующих определений не придается. Несколько отличная ситуация существует в зарубежном законодательстве и практике. При внимательном анализе Директивы Европейского парламента и Совета ЕС 95/46/EC <7>, имплементированной в 27 государствах Европы, можно сделать вывод, что определенным образом она делает уточнения именно такого характера, не случайно вводя в оборот понятие "файл персональных данных", указывая на определенную структурированность информации, которая позволяет ее включение и нахождение в базах данных/банках данных, информационных системах, а также облегчает возможность поиска ее по какому-либо фрагменту. Именно связь информации как данных с информационной системой и базами и банками данных подчеркивается во всем тексте Директивы, а также другие используемые термины: "оператор", "информационная система персональных данных", "файл". Аналогичное ощущение может сложиться и при анализе другого достаточно авторитетного источника - Конвенции Совета Европы о защите личности в связи с автоматизированной обработкой данных <8>. Надо сказать, что текст российского закона в целом оставляет аналогичное впечатление, особенно в части использования специальных терминов или, к примеру, необходимости уведомления оператора о начале обработки данных, по-видимому, находящихся в информационных системах или банках данных, или подготовленных для такой обработки. Однако определение, данное в законе, никак не конкретизирует "персональные данные" именно как данные, что совсем нежелательно и способно ввести в заблуждение. Аналогичные рассуждения о рассмотрении понятия "персональные данные" именно как "данные" есть, пожалуй, лишь у В.П. Иванского <9>, к чему он приходит также на основе анализа международной и зарубежной практики.

<7> URL: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:EN:NOT
<8> См.: Конвенция Совета Европы о защите личности в связи с автоматизированной обработкой данных от 28 января 1981 г. // URL: http://conventions.coe.int/Treaty/EN/Treaties/Html/108.htm.
<9> См.: Иванский В.П. Правовая защита информации о частной жизни граждан. М.: Издательство РУДН, 1999. С. 7 - 12.

Во-вторых, еще одним критерием выделения "персональных данных" в качестве особого рода информации можно считать ее связь с индивидом - субъектом персональных данных, что по-разному было отражено авторами и в законодательстве. В большинстве случаев она отражена как "идентификация" или "возможность идентификации" субъекта как необходимого критерия или признака персональных данных, как это указано у А.А. Фатьянова <10>. В.Н. Лопатин, давая свое определение, использует термин "отождествление", или "возможность отождествления", субъекта с информацией. И.Л. Бачило использует термин "удостоверение", "т.е. сведения и документы, удостоверяющие личность гражданина... его месторождения, жительства, свидетельства о его профессиональной ориентации и аттестации..." <11>. Законодательное определение использует весьма тождественный критерий "определенность", "т.е. информации об определенном или определяемом на основании такой информации физическом лице".

<10> См.: Фатьянов А.А. Тайна и право (основные системы ограничения на доступ к информации в российском праве). М., 1999. С. 188.
<11> Бачило И.Л. Информационное право. Основы практической информатики: Учеб. пособие.

Так или иначе можно сделать вывод о том, что здесь идет речь о некой связи между субъектом и данными, что и делает их в полной мере "персональными". Однако использование только критерия "идентификации" ("определенности", "тождественности") и аналогичным ему синонимам можно назвать не совсем удачным, учитывая, что процесс идентификации (отождествления, определения личности) в качестве критерия разграничения персональных данных от других категорий сведений неизбежно приведет к множеству споров о возможности или невозможности установить лицо на основании той или иной совокупности сведений о нем. О.Б. Просветова также придерживается мнения о нецелесообразности сужения значения персональных данных лишь к сведениям, позволяющим идентификацию личности, что, по ее мнению, не соответствует ст. 24 Конституции, которая охватывает все сведения о частной жизни лица <12>. Г. Бребант справедливо отмечает, что в настоящее время с развитием технологий обработки полученной информации потенциально расширяется возможность идентификации лица по какому-либо фрагменту информации. В связи с этим, с его точки зрения, справедливо расширение значения персональных данных до указания на информацию так или иначе связанную с субъектом, приводя в качестве примера фрагменты звуко-, видеозаписей, почерка, текста с особенностями морфологии и стиля <13>.

<12> См.: Просветова О.Б. Защита персональных данных: Дис. ... канд. юрид. наук. М., 2005. С. 26.
<13> См.: Braibant Guy. Donn es personnelles et soci t de l'information. Paris, 2000. C. 76 - 77.

С таким утверждением трудно не согласиться, но, с другой стороны, это привело бы к значительным трудностям в определении как самих "персональных данных", так и в сфере действия законодательного акта, поскольку в таком случае потенциально практически вся социальная информация может быть связана с конкретной личностью, что породило бы массу сложностей. Возвращаясь снова к одному из наиболее авторитетных источников в сфере правового регулирования обработки персональных данных на общеевропейском уровне - Директиве Европейского парламента и Совета ЕС 95/46/EC, стоит отметить, что в определении здесь использовано несколько существенных уточнений. В ст. 2 Директивы персональные данные рассматриваются как "информация о конкретном/определенном или определяемом индивиде ("субъекте данных"); определяемым является лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификационный номер или на один или несколько факторов, специфичных для его физической, психологической, ментальной, экономической, культурной или социальной идентичности" <14>. Такое определение ясно подчеркивает мысль о возможности установления связи на основании фрагмента информации между субъектом персональных данных и данными, прямо или косвенно находящимся в рамках информационной системы, путем указания на его какие-то индивидуальные особые признаки, идентификационный номер (код), называемый еще персональным идентификатором. Очевидно, сама информационная система должна содержать информацию - данные об уникальных особенностях личности, что позволяло бы ее связать с ней, т.е. идентифицировать или определить, а чаще всего содержит прямое указание на конкретного индивида, т.е. субъекта данных. Следовательно, персональные данные - это данные, которые связаны с индивидом - субъектом данных и содержат в себе информацию о его уникальных, индивидуальных особенностях или конкретное указание на принадлежность их ему. Например, удаление из файла-досье имени и фамилии, даты рождения и места, других уникальных для лица информационных признаков может привести к его обезличиванию, т.е. утрате их связи с субъектом.

<14> URL: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:EN:NOT

Таким образом, можно сделать вывод о некотором несовершенстве определения персональных данных в российском Законе, прежде всего в части конкретизации "персональных данных" именно как "данных", в их связи с другими определениями, такими, как "информационная система персональных данных", "база/банк персональных данных", что пока, к сожалению, не сделано. Кроме этого, по мнению автора, было бы желательно подчеркнуть в законодательном определении связь субъекта и данных, т.е. наличие там указания на уникальные особенности личности, позволяющие идентифицировать ее с ними.