Мудрый Юрист

Персональные данные как информация ограниченного доступа

В статье исследуется правовая основа категории "персональные данные", приводятся пять организационных мер по защите конфиденциальной информации. Предлагается введение в оборот категории "конфиденциальные персональные данные" и уточнение состава субъектов этих правоотношений.

С момента появления персональных данных как категории в российском законодательстве в 1995 г. в Федеральном законе "Об информации, информатизации и защите информации" персональные данные сразу же были отнесены к разряду конфиденциальной информации, т.е. информации ограниченного доступа <1>. Принятый впоследствии Указ Президента РФ "Об утверждении Перечня сведений конфиденциального характера" <2> также содержит их упоминание в качестве конфиденциальной информации. Действующий ныне Федеральный закон "Об информации, информационных технологиях и о защите информации" <3> аналогичным образом говорит о персональных данных в статье об ограничении доступа к информации, однако прямо не называет их в качестве конфиденциальной информации или информации ограниченного доступа, указывая лишь на особый порядок доступа к ним, предусмотренный специальным законом. Федеральный закон "О персональных данных" (далее - Закон), что интересно, также не характеризует персональные данные в целом как конфиденциальную информацию, даже более того, наряду с просто определением персональных данных содержит определение общедоступных персональных данных - термин, который невозможно логически соотнести с информацией ограниченного доступа.

<1> См.: Федеральный закон от 20 февраля 1995 г. N 24-ФЗ "Об информации, информатизации и защите информации" (ч. 1 ст. 11) // Российская газета. 2003. 7 июля.
<2> См.: Указ Президента РФ от 6 марта 1997 г. N 188 "Об утверждении Перечня сведений конфиденциального характера" // СПС "Гарант" по состоянию на 1 сентября 2008 г. URL: http:// www.garant.ru.
<3> См.: Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" // Российская газета. 2006. 27 июля.

В ст. 3 Закона содержится определение "конфиденциальности персональных данных", которая заключается в их нераспространении, т.е. недопущении действий, направленных на передачу и ознакомление с персональными данными третьими лицами, их опубликование, размещение в открытом доступе. Соблюдение конфиденциальности не требуется в случае обработки общедоступных персональных данных и в случае их обезличивания, т.е. утраты всякой связи с субъектом, что не позволяет, по-видимому, их в дальнейшем вообще рассматривать в качестве персональных данных. Следовательно, рассматривать персональные данные в целом как информацию ограниченного доступа вряд ли представляется возможным, скорее, было бы правильным ввести в таком случае в оборот категорию "конфиденциальные персональные данные". В итоге из всей массы персональных данных это позволило бы выделить те из них, на которые законодательством распространяется требование соблюдения конфиденциальности. Исключением из правила следует считать случаи, упомянутые в ч. 2 ст. 1 Закона - персональные данные, составляющие государственную тайну, хранящиеся в архивах, находящиеся в Едином реестре индивидуальных предпринимателей и юридических лиц, обрабатываемые исключительно для бытовых нужд. На часть из них будет распространяться другой режим ограничения доступа - режим государственной тайны. В отношении двух других случаев будут действовать совершенно другие правовые режимы, в рамках которых говорить об ограничении доступа к персональным данным в полной мере невозможно. Законодательство об архивном деле предусматривает общий запрет на доступ к информации о частной жизни лица, его личной и семейной тайне, о чем можно судить на основании п. 3 ст. 25 Федерального закона "Об архивном деле в РФ" <4>, учитывая, что ни того ни другого определения законодательно не существует. Сведения Единых государственных реестров юридических лиц и индивидуальных предпринимателей являются на основании закона общедоступными, за исключением паспортных данных физических лиц (но не в случае индивидуальных предпринимателей) и информации о банковских счетах юридических лиц, индивидуальных предпринимателей <5>. Последний упомянутый случай исключения из правового режима конфиденциальности персональных данных, когда речь идет об их обработке для личных бытовых нужд, следует рассматривать как достаточно спорный. Вероятно, в таком случае сложно вести речь о конфиденциальности таких персональных данных в полной мере, но можно говорить о существовании общего требования об уважении прав и свобод субъекта персональных данных, в первую очередь права на уважение частной жизни, личную и семейную тайну, при их обработке, установленного Конституцией РФ в ст. ст. 23 и 24.

<4> См.: Федеральный закон от 22 октября 2004 г. N 125-ФЗ "Об архивном деле в РФ" (в ред. Федерального закона от 4 декабря 2006 г. N 202-ФЗ) // СПС "Гарант" по состоянию на 1 сентября 2008 г. URL: http://www.garant.ru.
<5> См.: Федеральный закон 8 августа 2001 г. N 129-ФЗ "О государственной регистрации юридических лиц и индивидуальных предпринимателей" (в ред. Федерального закона от 4 декабря 2006 г. N 202-ФЗ) (ст. 6) // СПС "Гарант" по состоянию на 1 мая 2008 г. URL: http://www.garant.ru.

Возвращаясь, собственно, к режиму конфиденциальности персональных данных, установленному Законом, следует сказать, что его суть, по аналогии с другими видами информации ограниченного доступа, должна заключаться в установлении особого порядка доступа к ним, их использования и распространения. Но в Законе (ст. 19) закреплено лишь крайне общее требование - предпринять организационные и технические меры по охране от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Технические меры, которые обязан предпринять оператор, можно считать достаточно определенными, поскольку действуют аналогичные нормативные положения, связанные с защитой иных видов конфиденциальной информации. Такая деятельность по защите конфиденциальной информации осуществляется путем лицензирования и сертификации средств защиты информации Федеральной службой по техническому и экспортному контролю, на основании соответствующих положений <6>. Но вот что касается организационных мер, то здесь совершенно отсутствуют какие-либо четкие указания на этот счет. По аналогии с другими категориями информации ограниченного доступа, такими как государственная тайна <7>, коммерческая тайна <8>, служебная тайна (в том числе на основании находящегося на стадии рассмотрения в Государственной Думе РФ проекта Федерального закона "О служебной тайне" <9>), к таким действиям логически следовало бы отнести:

<6> См.: Положение о сертификации средств защиты информации, утверждено Постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608 (с изменениями и дополнениями от 23 апреля 1996 г. N 509; от 29 марта 1999 г. N 342; от 17 декабря 2004 г. N 808); Положение о сертификации средств защиты информации по требованиям безопасности информации, утверждено Приказом Председателя Государственной технической комиссии при Президенте Российской Федерации от 27 октября 1995 г. N 199; Положение о лицензировании деятельности по технической защите конфиденциальной информации, утверждено Постановлением Правительства Российской Федерации от 15 августа 2006 г. N 504 (указанные нормативные документы доступны по официальном электронному адресу Федеральной службы по техническому и экспортному контролю. URL: http://www.fstec.ru/_razd/_ispo.htm).
<7> См.: Закон Российской Федерации от 21 июля 1993 г. N 5485-1 "О государственной тайне", раздел 3 "Отнесение сведений к государственной тайне и их засекречивание" (в ред. Федеральных законов от 6 октября 1997 г. N 131-ФЗ, от 30 июня 2003 г. N 86-ФЗ, от 11 ноября 2003 г. N 153-ФЗ, от 29 июня 2004 г. N 58-ФЗ, от 22 августа 2004 г. N 122-ФЗ, с изм., внесенными Постановлением Конституционного Суда РФ от 27 марта 1996 г. N 8-П, Определениями Конституционного Суда РФ от 10 ноября 2002 г. N 293-О, от 10 ноября 2002 г. N 314-О) // СПС "Гарант" по состоянию на 1 сентября 2008 г. URL: http://www.garant.ru.
<8> См.: Федеральный закон от 29 июля 2004 г. N 98-ФЗ "О коммерческой тайне" (в ред. Федерального закона от 2 февраля 2006 г. N 19-ФЗ, от 18 декабря 2006 г. N 231-ФЗ) (ст. 10) // СПС "Гарант" по состоянию на 1 сентября 2008 г. URL: http://www.garant.ru.
<9> См.: проект Федерального закона, законопроект N 124871-4 "О служебной тайне", глава 2 "Отнесение сведений к служебной тайне и снятие ограничений на их распространение" (URL: http://asozd.duma.gov.ru /work/dz.nsf/ById/24e5e61198d60170432571BB00590232?opendocument).
  1. Установление перечня персональных данных.
  2. Установление круга субъектов, имеющих доступ к персональным данным.
  3. Использование специального грифа и реквизитов, позволяющих в дальнейшем идентифицировать информацию как конфиденциальную, - "Конфиденциально".
  4. Учет (регистрация) лиц, фактически получивших доступ к персональным данным.
  5. Урегулирование отношений по охране конфиденциальности информации работниками и другими лицами на основании трудовых и гражданско-правовых договоров.

Во всех перечисленных случаях такие действия должны предприниматься своевременно (заблаговременно), и режим конфиденциальности/секретности будет установлен в отношении информации исключительно после принятия всех перечисленных мер. В отношении же персональных данных законодатель от такой четкой регламентации действий оператора по неясным причинам отказался. В частности, сформировать перечень персональных данных, обработка которых осуществляется конкретным оператором, представляется вполне возможным. Закон в ст. 5 указывает на то, что персональные данные не должны быть избыточными и превышать объем, необходимый для достижения заранее заявленных целей, а значит, их конкретный перечень можно и нужно сформировать заблаговременно. То же касается персональных данных, обработка которых разрешена на основании закона (персональные данные работников) или содержащихся в договорах между субъектом персональных данных и оператором (обработка персональных данных клиентов, потребителей, абонентов и т.д.). Хоть их обработка не требует соответствующего уведомления органа по защите прав субъектов персональных данных или согласия последнего, их также необходимо было бы включить в рассматриваемый перечень. Использование специального грифа также дало бы возможность четкого обозначения той информации, на которую распространяется режим конфиденциальности персональных данных, установленный Законом.

Отдельно стоит рассмотреть проблему охраны конфиденциальности персональных данных в рамках трудовых отношений. По аналогии с другими видами конфиденциальной информации такие положения необходимо включать в трудовые договоры с работниками, имеющими доступ к конфиденциальным персональным данным. То же касается предупреждения работников о возможной ответственности за передачу, распространение персональных данных, обязанность работников при увольнении передать все носители и другие материальные объекты, содержащие персональные данные, работодателю, обязанность работника сохранять конфиденциальность персональных данных, ставших ему известными при исполнении трудовой функции, после расторжения трудового договора и т.д. К сожалению, Закон не содержит ни одного из указанных положений и, более того, в принципе не выделяет работника, т.е. физическое лицо, которое непосредственно при исполнении своих трудовых обязанностей осуществляет эксплуатацию информационной системы, базы/банка персональных данных и имеет к ним прямой доступ.

Аналогичная ситуация сложилась в вопросе доступа к информационным системам, базам/банкам персональных данных третьих лиц на основании гражданско-правовых договоров, в частности договоров о технической поддержке, направленных на обеспечение бесперебойного функционирования информационных систем, баз/банков персональных данных, и других подобных случаях.

Учет данных рекомендаций позволил бы разрешить множество вопросов, связанных с привлечением к юридической ответственности виновных лиц, и в большей степени ее дифференцировать. Поскольку по аналогии с другими видами конфиденциальной информации чаще всего субъектом ответственности является специальный субъект, т.е. лицо, имеющее допуск/доступ к ней на законном основании и принявшее в добровольном порядке на себя обязательства по сохранению конфиденциальности.

Отметим еще один существенный аспект, связанный с охраной конфиденциальности персональных данных. Основным "конфидентом" в отношении персональных данных на основании Закона следует считать "оператора", а в некоторых случаях третьих лиц, которые получили к ним доступ. При этом сам субъект персональных данных, являясь одним из участников отношений по охране их конфиденциальности, такой обязанности по закону не несет. Более того, он обладает рядом "эксклюзивных прав" - правом доступа к своим персональным данным, включая право требовать их уточнения, а также, что самое главное, вправе в любой момент снять режим конфиденциальности - согласиться на их общедоступность, сообщить их или передать их третьим лицам, другим операторам и в целом распорядиться ими по своему усмотрению. Однако оператор как конфидент предположительно обязан сохранять иногда конфиденциальность персональных данных, ставших фактически общеизвестными. К примеру, если они стали таковыми без согласия субъекта в результате противоправных действий, предположим, путем публикации в СМИ. В таких случаях требовать дальнейшего сохранения конфиденциальности информации в большинстве случаев было бы просто нелогично, поскольку эта информации стала общедоступной. Общедоступность же персональных данных четко обусловлена двумя условиями - это согласие субъекта или прямое требование закона (например, положения ст. 7 Федерального закона "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" <10>, предусматривающая идентификацию лица при совершении крупных сделок и передачу этой информации в соответствующие государственные структуры). Следовательно, ввиду отсутствия упомянутых выше двух условий в рассматриваемой ситуации, оператор по-прежнему был бы обязан сохранять их "конфиденциальность", как это ни парадоксально. В противном случае это было бы прямым нарушением прав субъекта, который мог пострадать, если бы информация о его частной или личной жизни, содержащаяся в персональных данных, стала предметом всеобщего обсуждения.

<10> См.: Федеральный закон от 7 августа 2001 г. N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" // Российская газета. 2001. 7 авг.

Часть указанных проблем в определении содержания правового режима конфиденциальности персональных данных можно объяснить особенностями природы персональных данных, которая тесным образом связана с правом на уважение частной жизни индивида, личную и семейную тайну. Некоторые российские авторы, например В.Н. Лопатин, в связи с этим прямо указывают на персональные данные как на институт охраны права на частную жизнь <11>. Такое положение дел объясняет необходимость особого подхода к персональным данным при их обработке независимо от существования режима ограничения доступа к ним, поскольку их использование не должно нарушать общих фундаментальных прав индивида, таких как право на частную жизнь, личную и семейную тайну.

<11> См.: Бачило И.Л., Лопатин В.Н., Федотов М.А. Информационное право. СПб.: Изд. "Юридический центр Пресс", 2005. С. 243.

Другая часть проблем объясняется тем, что персональные данные в случае наличия требования их конфиденциальности, которая обоснованно презюмируется в том числе на основании последовательного анализа положений Закона, можно отнести к числу "производных" тайн <12> или категорий информации ограниченного доступа. Это, в свою очередь, требует от их обладателя принятия безусловных мер по охране их конфиденциальности, поскольку охраняются в данном случае не его права и интересы, а права и интересы других лиц, в частности фундаментальные права и свободы человека. Поэтому, по мнению авторов, в отсутствие прямого интереса обладателя в защите конфиденциальности персональных данных существует необходимость четкого формулирования его обязанности в этом случае.

<12> См.: О классификации конфиденциальной информации на "первичные" и "производные" тайны см.: Волчинская Е.К. Коммерческая тайна в системе конфиденциальной информации. URL: http://www.infolaw.ru/lib/2005-3-com-secret-in-confidential-information.

Последнее, что стоит отметить при характеристике персональных данных как конфиденциальной информации, связано с их соотношением в таком качестве с другими категориями информации с ограниченным доступом, что может представлять некоторые сложности. С одной стороны, персональные данные связаны с необходимостью защиты частной жизни индивида, сферы, по мнению большинства современных авторов <13>, едва ли поддающейся четкому определению, с другой стороны, почти все определения, в том числе и законодательное, характеризуют их как "любую информацию, которая может быть связана с индивидом или идентифицирована с ним", а следовательно, персональные данные могут охватывать практически все сферы жизни индивида. Совершенно очевидно, что ввиду такой сложной природы они могут потенциально охраняться на условиях других режимов конфиденциальности/секретности, в частности на условиях режима государственной тайны, коммерческой тайны, служебной тайны и многих видов профессиональных тайн (врачебной, нотариальной, тайны усыновления и т.д.). На подобный вывод наталкивает анализ целого ряда положений Закона, по смыслу которых персональные данные составляют одновременно: государственную тайну (ч. 2 ст. 1), личную, семейную тайну, тайну частной жизни (ст. ст. 2, 12), врачебную тайну (п. п. 3 - 4 ч. 2 ст. 10 и ст. 12), тайну следствия (п. 6 ч. 2 ст. 10), тайну правосудия и оперативно-розыскной деятельности (ст. 11). Вполне очевидно, что за некоторым исключением в отношении такой информации будут действовать одновременно требования законодательства о защите персональных данных и иного специального законодательства.

<13> См.: Бачило И.Л., Лопатин В.Н., Федотов М.А. Указ. соч. С. 220; Головкин Р.Б. Правовое и моральное регулирование частной жизни в современной России: Дис. ... д-ра юрид. наук: 12.00.01. Н. Новгород, 2005. С. 117; Баранов В.М. Категория "частная жизнь" // Право граждан на информацию и защита неприкосновенности частной жизни. Н. Новгород, 1999. С. 34 - 37.

В заключение выразим общее суждение о некотором несовершенстве российского Закона в части определения персональных данных в качестве информации ограниченного доступа или конфиденциальной, что было отмечено уже и другими авторами, в частности Н.И. Петрыкиной <14>. В качестве возможных путей совершенствования положений законодательства авторам видится целесообразным сформулировать следующие предложения и выводы.

КонсультантПлюс: примечание.

Статья Н.И. Петрыкиной "К вопросу о конфиденциальности персональных данных" включена в информационный банк согласно публикации - "Законы России: опыт, анализ, практика", 2007, N 6.

<14> Петрыкина Н.И. К вопросу о конфиденциальности персональных данных // Правовая система "Гарант" по состоянию на 1 мая 2008 г. URL: http://www.garant.ru.

Во-первых, стоит ввести в законодательную материю понятие "конфиденциальные персональные данные", т.е. персональные данные, на которые, в соответствии Законом о персональных данных, распространяется специальный правовой режим ограничения доступа к ним - режим конфиденциальности персональных данных.

Во-вторых, следует выделить в Законе о персональных данных основные организационные меры по установлению режима конфиденциальности персональных данных. К таковым мерам следует отнести: установление оператором перечня конфиденциальных персональных данных, обработку которых он осуществляет, определить круг субъектов, которые будут иметь доступ к ним, установить правила использования соответствующих реквизитов на материальных носителях, содержащих конфиденциальные персональные данные.

В-третьих, указать в Законе о персональных данных в качестве субъектов отношений по охране конфиденциальности персональных данных "обладателя" информационной системы, базы/банка персональных данных и непосредственно "оператора" информационной системы, базы/банка персональных данных, т.е. лицо, которое на основании трудового или гражданско-правового договора осуществляет эксплуатацию, обслуживание такой информационной системы и имеет доступ к персональным данным. Определить особенности их правового статуса и ответственности.