Мудрый Юрист

Персональные данные как информация ограниченного доступа: проблемы правового регулирования

О.С. Соколова, преподаватель юридического факультета Вологодского государственного педагогического университета.

Бурное развитие информационных технологий привело к появлению информации, содержащей данные о конкретном лице. Сбор, обработка, использование, хранение этих данных осуществляются, например, в финансовой и налоговой сферах, в сфере пенсионного, социального и медицинского страхования, в оперативно-розыскной деятельности, в трудовой и других областях общественной жизни. Персональные данные являются неотъемлемой частью информационных ресурсов всех уровней - от федерального до муниципальных образований. Интенсивно формируется институт персональных данных как важная составляющая информационного права России.

Основой регулирования правоотношений в сфере персональных данных являются положения ст. 24 Конституции РФ, которые устанавливают, что без согласия лица не допускаются сбор, хранение, использование и распространение информации о его частной жизни. Конституционной обязанностью органов государственной власти и органов местного самоуправления, их должностных лиц является обеспечение возможности каждому ознакомиться с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Среди соответствующих международно-правовых норм следует отметить ст. 8 Конвенции по защите прав человека и основных свобод (ETS N 5), допускающую необходимое в демократическом обществе вмешательство в частную жизнь лица только в интересах национальной безопасности и общественного порядка, экономического благосостояния страны, в целях предотвращения беспорядков или преступлений, для охраны здоровья или нравственности или защиты прав и свобод других лиц (такое вмешательство предусмотрено законом).

Впервые персональные данные как вид документированной информации ограниченного доступа были определены в Федеральном законе от 20.02.1995 N 24-ФЗ "Об информации, информатизации и защите информации" (в наст. время - в ред. от 10.01.2003; далее - Закон об информации). К таким данным относятся сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность. Как информация ограниченного доступа, персональные данные относятся к категории конфиденциальных сведений, что определено не только в Законе об информации, но и в Указе Президента РФ от 06.03.1997 N 188, утвердившем Перечень сведений конфиденциального характера. Не являются персональными данными и, следовательно, конфиденциальной информацией данные о лице, подлежащие распространению в средствах массовой информации в установленных законами случаях.

В редакции Закона об информации от 10.01.2003 положение ст. 11 о деятельности негосударственных организаций и частных лиц, связанных с обработкой и предоставлением пользователям персональных данных, исключено. Установлено, что сбор, хранение, использование и распространение персональных данных, содержащих личную, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, допускаются только с согласия лица либо на основании судебного решения. Новеллой в вышеуказанной редакции является положение об ответственности юридических и физических лиц, владеющих персональными данными, за нарушение режима защиты, обработки и порядка использования этой информации. Законом об информации также закреплены основные права граждан в отношении их персональных данных: это право на доступ к соответствующей информации, на ее уточнение в целях обеспечения полноты и достоверности, на получение сведений о ее использовании. Обязанностями владельцев персональных данных (документированных) является обеспечение соблюдения режима обработки соответствующей информации и правил предоставления информации пользователю.

Институт персональных данных в российском информационном праве формируется за счет норм об информации определенного вида, содержащихся в различных федеральных законах. Объем сведений, позволяющий идентифицировать лицо, определяется в них по-разному. Так, например, Федеральным законом от 07.08.2001 N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем" (в ред. от 30.10.2002) к персональным данным отнесены сведения о документе, удостоверяющем личность, адрес места жительства или пребывания личности. Аналогичные указания содержатся и в Федеральном законе от 01.04.1996 N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования" (в ред. от 31.12.2002). Персональными данными в соответствии с Федеральным законом от 15.11.1997 N 143-ФЗ "Об актах гражданского состояния" (в ред. от 08.12.2003) считаются любые сведения, ставшие известными работнику органа записи актов гражданского состояния при регистрации актов гражданского состояния. В ст. 387 новой редакции Таможенного кодекса РФ, вступившей в силу 1 января 2004 г., предусмотрено право таможенных органов накапливать в отношении физических лиц персональные данные и данные о частоте перемещения ими товаров через границу.

Детально регламентированы правоотношения по поводу персональных данных работника в Трудовом кодексе РФ (глава 14). Объем персональных данных определяется здесь очень широко: это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Она может быть получена только у самого работника или, с его письменного согласия, у третьих лиц. Установлен запрет на получение и обработку персональных данных о политических, религиозных, иных убеждениях работника и о его частной жизни. Данные о членстве его в общественных объединениях или о его профсоюзной деятельности могут собираться, обрабатываться и использоваться только в случаях, установленных законом. Трудовой кодекс РФ содержит также нормы о порядке передачи персональных данных работника: мероприятия по защите данной информации от неправомерного использования или утраты осуществляются за счет средств работодателя. Впервые в Трудовом кодексе РФ (и в российском законодательстве вообще) вводится такое понятие, как "персональные данные оценочного характера". Работник имеет право дополнить их заявлением, выражающим его (работника) собственную точку зрения в отношении такой информации.

Отдельные группы персональных данных могут приобретать правовой режим другого вида информации ограниченного доступа - государственной тайны. Это, в частности, касается персональных данных государственных служащих, внесенных в личные дела и документы учета, на что указано в Федеральном законе от 27.05.2003 N 58-ФЗ "О системе государственной службы в Российской Федерации" (в ред. от 11.11.2003).

Особенно остро стоит вопрос в отношении сбора и использования персональных данных в оперативно-розыскной деятельности. Подтверждение этому - Определение Конституционного Суда РФ от 14.07.1998 N 86-О <*>, которое в свое время широко комментировалось. Хотя заявление истца о признании не соответствующими Конституции РФ ряда положений Федерального закона от 12.08.1995 N 144-ФЗ "Об оперативно-розыскной деятельности" (в ред. от 30.06.2003; далее - Закон об ОРД) не было удовлетворено, сразу несколько судей КС РФ в своем особом мнении выразили позицию, признающую противоречивость и двусмысленность отдельных норм Закона об ОРД, касающихся сбора данных о частной жизни лица. Для предоставления дополнительной гарантии прав лиц, являющихся объектами (в том числе потенциальными) оперативно-розыскных мероприятий, в 1999 году ст. 5 Закона об ОРД была дополнена положением, устанавливающим, что при проведении таких мероприятий соответствующие органы (должностные лица) должны обеспечивать соблюдение прав человека и гражданина на неприкосновенность частной жизни, жилища, личную и семейную тайну, тайну корреспонденции. Следует отметить, что в указанной статье установлено право лица, в отношении которого проводились оперативно-розыскные мероприятия (если оно располагает фактами об этом) и виновность которого не доказана в установленном законом порядке, если это лицо полагает, что при этом были нарушены его права, истребовать сведения о полученной о нем информации (в пределах, допускаемых требованиями о конспирации и исключающих возможность разглашения государственной тайны).

<*> "По делу о проверке конституционности отдельных положений Федерального закона "Об оперативно-розыскной деятельности" по жалобе гражданки И.Г. Черновой".

Практически во всех законах, содержащих нормы о персональных данных, имеются общие положения об ответственности должностных и иных лиц, владеющих персональными данными, за нарушение режима ограниченного доступа и конфиденциальности в отношении такой информации. Гражданско-правовая ответственность за нарушение нематериальных благ - неприкосновенности частной жизни, личной и семейной тайны и др. - предусмотрена в ст. 150 Гражданского кодекса РФ. Лицо, чьи неимущественные права нарушены, вправе требовать компенсации морального вреда и возмещения убытков. Защита осуществляется и иными способами (ст. 12 ГК РФ). Кодекс РФ об административных правонарушениях содержит новый для данной отрасли законодательства состав правонарушения - это ст. 13.11, предусматривающая ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Уголовное законодательство России не предусматривает специального состава преступления, объектом которого являются правоотношения по поводу персональных данных, однако соответствующие противоправные действия могут охватываться составами статей о преступлениях в сфере компьютерной информации либо составами должностных преступлений. Противоправные действия в отношении персональных данных могут также квалифицироваться как нарушение неприкосновенности частной жизни либо нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Однако необходимость введения соответствующей специальной уголовной ответственности объективно существует.

Законом об информации предусмотрена обязательная сертификация информационных систем, баз и банков данных, предназначенных для информационного обслуживания граждан и организаций. Порядок сертификации определяется соответствующим Постановлением Правительства РФ от 26.06.1995 N 608 (в ред. от 29.03.1999). Деятельность по технической защите конфиденциальной информации подлежит лицензированию в порядке, установленном Постановлением Правительства РФ от 30.04.2002 N 290 (в ред. от 06.02.2003). Органом исполнительной власти, осуществляющим лицензирование указанного вида деятельности, является Гостехкомиссия при Президенте РФ <*>.

<*> См.: Калайда И.А., Попов Ю.Г. О лицензировании деятельности по технической защите конфиденциальной информации // Вопросы защиты информации. 2003. N 1. С. 54.

Дальнейшее развитие института персональных данных в информационном праве России трудно представить без специального закона. Проект закона "О персональных данных" уже был представлен в Государственную Думу РФ. Представляется, что было бы полезно учесть опыт, который имеется в соответствующем законодательстве зарубежных стран. Так, в Германии право на защиту персональных данных закреплено на конституционном уровне. В Великобритании Актом о защите данных установлен правовой статус персональных данных и основополагающие принципы их обработки. Практически во всех европейских государствах, а также в США, Австралии, Японии и ряде других стран действуют коллегиальные органы, являющиеся негосударственными структурами, в чьи функции входит защита прав субъектов правоотношений по поводу персональных данных и рассмотрение конфликтных ситуаций в этой сфере. Регулярно проводятся международные совещания уполномоченных по защите персональных данных, возглавляющих эти органы <*>.

<*> См.: Черешкин Д.С., Курило А.П. О проблеме защиты персональных данных в Российской Федерации // Проблемы информатизации. 1995. N 1. С. 33.

Отсутствие систематизированного законодательства в сфере персональных данных и специального закона создает состояние правовой незащищенности от несанкционированного доступа к такой информации. На сегодняшний день в российском законодательстве отсутствует и классификация персональных данных, хотя попытка их дифференциации имеет место быть - например, в Трудовом кодексе РФ, где речь идет о так называемых оценочных персональных данных. Между тем зарубежный опыт свидетельствует о целесообразности разделения соответствующей информации на две группы: данные общего характера и особая категория персональных данных, которая определяется как "данные чувствительного свойства" и к которой относится информация о расовом происхождении, политических убеждениях, конфессиональной принадлежности, состоянии здоровья, личных пристрастиях и т.д. Персональные данные второй группы должны иметь особый режим защиты и больший уровень конфиденциальности. Сбор, обработка и использование этих данных должны осуществляться только в силу необходимости. Что касается субъектов правоотношений по поводу персональных данных, то, возможно, в число их можно включить и корпоративные объединения, не имеющие статуса юридического лица, как это сделано в ряде западных стран <*>.

<*> См.: Сергиенко Л.А. Правовая защита персональных данных. Цели и принципы правового регулирования // Проблемы информатизации. 1995. N 1. С. 37.

Многократно возрастающий объем информации ограниченного доступа, в том числе и персональных данных, требует особой ответственности при решении вопросов регулирования соответствующих правоотношений. Исходным принципом при этом должно стать обеспечение информационной безопасности гражданина, защита его личных прав в условиях информатизации общества <*>. Использование персональных данных должно служить основной задаче - повышению эффективности функционирования основных институтов государственной власти, поскольку высшая цель государства, закрепленная в Конституции РФ, - признание, соблюдение и защита прав и свобод человека и гражданина.

<*> См.: Лопатин В.Н. Правовые проблемы защиты единого информационного пространства страны: Информация и государство // Вопросы защиты информации. 2001. N 2. С. 17.