Гарантии охраны и защиты персональных данных человека и гражданина
(Цадыкова Э. А.) ("Конституционное и муниципальное право", 2007, N 14) Текст документаГАРАНТИИ ОХРАНЫ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ЧЕЛОВЕКА И ГРАЖДАНИНА
Э. А. ЦАДЫКОВА
Цадыкова Э. А., соискатель Российской академии правосудия.
К теме правовой защиты сферы частной жизни человека в последнее время усиливается внимание как отечественных, так и зарубежных ученых. Это связано с новым типом общественных отношений, характеризующихся стремительным развитием технологий, научных достижений, с коренными изменениями, происходящими в отечественном правовом пространстве. Информатизация общества, создание и широкое использование компьютеризированных баз данных о гражданах государственными и негосударственными структурами, участие России в международном информационном обмене, в открытых информационных системах придают особую актуальность и значимость задаче обеспечения необходимой правовой защиты информации о частной жизни граждан. Процесс эволюции права на неприкосновенность частной жизни позволяет обнаружить два очень важных элемента в формировании современных аспектов частной жизни: во-первых, информационный аспект частной жизни стал преобладающим, граница частной жизни, ранее проходившая по физическим стенам дома, постепенно становится все более и более информационной; во-вторых, постепенный переход защиты частной жизни к праву информационной автономии или к праву на информационное самоопределение. Право на неприкосновенность частной жизни в информационном смысле означает неприкосновенность личной информации. Представляется, целесообразно рассматривать методы и способы защиты сферы частной жизни именно с точки зрения защиты информации о частной жизни, поскольку сама смысловая нагрузка данного подхода подразумевает защиту всех аспектов частной жизни, а именно сферу личной жизнедеятельности индивидуума, любые конфиденциальные записи о нем, все то, что человек предпочитает не предавать огласке. Право на защиту информации о частной жизни (право на информационное самоопределение) не относится к классическим основным правам. Оно получило свое развитие в течение последних трех десятилетий, в основном в судебных процессах в странах Западной Европы. Вместе с ч. 1 ст. 23 Конституции РФ, закрепляющей право каждого на неприкосновенность частной жизни, личной и семейной тайны, защиты своей чести и доброго имени, ст. 24 обосновывает притязание на информационное самоопределение. Право на информационное самоопределение в рамках основного права на неприкосновенность частной жизни охватывает личную информацию в той мере, в какой она не защищена тайной переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений (ч. 2 ст. 23 Конституции РФ) или правом неприкосновенности жилища (ст. 25 Конституции РФ) <1>. Право на информационное самоопределение было развито как ответ основного права на угрозу для свободы нового вида: создание и развитие мощных компьютеризированных систем для сбора, управления и использования информации о любом человеке. В сложившихся технологически продвинутых условиях информационный аспект частной жизни является наиболее уязвимым для правонарушений в данной области. Информация превратилась в дорогой коммерческий продукт, информация о частной жизни граждан в том числе. Как справедливо заметили М. Е. Петросян и Н. Н. Разумович, вторжение в сферу частной жизни приобретает очертания серьезного социального бедствия, в котором замешаны государство, влиятельные общественные организации, крупные монополии, поскольку информация о личности рассматривается "как экономически выгодный товар и как источник власти" <2>. -------------------------------- <1> Экштайн К. Основные права и свободы. По российской Конституции и Европейской конвенции. М., 2004. С. 91. <2> Петросян М. Е., Разумович Н. Н. Информация и личность. Правовые аспекты: Научно-аналитический обзор литературы США. М., 1979. С. 6.
Одна из главных проблем защиты личной информации состоит в ее латентном характере: субъект данных может и не догадываться о совершенных в отношении его незаконном сборе, обработке, хранении, уничтожении и передаче персональных данных, а также внесении в эти данные преднамеренных искажений. Эффективные меры, предпринимаемые в целях безопасности и предотвращения работ с личными данными человека частными лицами и государством, которым по закону не надлежит обрабатывать, получать и использовать данный вид информации, получили свое терминологическое обозначение в виде понятия "защита персональных данных". Информация о частной жизни - понятие более широкое, чем персональные данные. По мнению оксфордского правоведа Раймонда Уэкса, персональная информация включает те факты, сообщения или мнения, которые связаны с данным индивидом и относительно которых можно было бы ожидать, что он считает их интимными или конфиденциальными и, следовательно, желает остановить или, по крайней мере, ограничить их обращение" <3>. -------------------------------- <3> Wakes Raymond. Protection of Privacy. London: Sweet & Maxwell, 1980. P. 31.
Персональные данные - это лишь информация, позволяющая идентифицировать личность. Само по себе распространение персональных данных не столько наносит ущерб личности, сколько создает возможность для причинения ущерба. Защита персональных данных подстраховывает от возможных нарушений неприкосновенности частной жизни, так как отдельные данные о человеке могут сложиться в обобщающую картину его личности. Исследование зарубежных законов о защите данных в ряде стран показало, что все персональные данные определяются по критерию "чувствительность". Так как понятие чувствительности персональной информации достаточно субъективно, то на базе многих прецедентов в гражданском судопроизводстве стран общего права был сформулирован следующий принцип: раскрытие некоего факта частной жизни (персональных данных) признавалось посягательством на сферу частной жизни, если было доказано, "что раскрытие этого факта было высокопредосудительным с точки зрения любого благоразумного человека, наделенного обычной чувствительностью". Смысл этого судебного критерия в том, "что закон не предназначен для защиты сверхчувствительных людей, поскольку каждый человек должен до некоего обоснованного предела открывать свою жизнь для пристального внимания общества" <4>. -------------------------------- <4> См.: Судебное определение по делу Диас против Окленд Трибьюн Инкорпорейтед. Цит. по: Freedman Warren. Right of Privacy in Age of Computer. L. London; New York, 1986. P. 53 - 54.
Содержание "особо чувствительных" персональных данных зависит от национального менталитета, но в основном к данной категории относятся данные о расовом и этническом происхождении личности, о религиозных предпочтениях, политических убеждениях, членстве в профессиональных ассоциациях, политических и иных общественных организациях, о состоянии здоровья, особенностях сексуального поведения, данные о вынесенных и исполненных судебных приговорах по уголовным делам <5>. -------------------------------- <5> Иванский В. П. Правовая защита информации о частной жизни. Опыт современного правового регулирования. М., 1999. С. 14.
Перепись населения, ведение налоговыми органами учета частных расходов граждан являются вторжением в частную жизнь, но данные меры необходимы для экономического благосостояния страны при условии обеспечения необходимых условий по защите конфиденциальности собранной информации <6>. -------------------------------- <6> См.: судебные решения по делу X v. United Kingdom, European Commission, Application 9702/82, (1983) 30 Decisions & Reports 239; по делу X v. Belgium, European Commission, Application 9804/82, (1982) 31 Decisions & Reports 23.
Информация, затрагивающая неприкосновенность частной жизни лица и ставшая известной на законных основаниях другим лицам, должна охраняться: - в режиме профессиональной тайны, если она получена ими исключительно в силу исполнения своих профессиональных обязанностей, не связанных с государственной или муниципальной службой; - в режиме служебной тайны, если она получена представителями государственных органов или органов местного самоуправления в силу исполнения своих служебных обязанностей в случаях и в порядке, которые установлены законом. На международном уровне, помимо основных соглашений, в которых закреплены гарантии защиты персональных данных (Всеобщая декларация прав человека 1948 г. (ст. 12), Международный пакт о гражданских и политических правах 1966 г. (ст. 17), Европейская конвенция о защите прав человека и основных свобод 1950 г. (ст. 8), Конвенция Содружества Независимых Государств о правах и основных свободах человека), действуют и специализированные соглашения, более подробно регулирующие данную сферу общественных отношений. Директива Европейского Парламента и Совета Европы 95/46/EC "О защите личности в отношениях обработки персональных данных и свободном обращении этих данных" и Директива Европейского Парламента и Совета Европы 2002/58/EC от 12 июля 2002 г. касаются защиты персональных данных и защиты личных данных в электронном коммуникационном секторе, регламентируют использование персональных данных и предусматривают гарантии неприкосновенности частной жизни в сфере телекоммуникаций. В названных документах были определены основные правила-принципы организации обработки персональных данных и обеспечения права граждан на защиту таких данных. Соответствие национального законодательства требованиям этих Директив является обязательным условием полноценного участия государств в международном информационном обмене, в частности экспорта информации в третьи страны и в страны Европейского союза. Директива 95/46/EC определяет рамочные условия относительного уровня доступа и возможности передачи информации. В случае если в странах не обеспечен надлежащий уровень защиты, экспорт информации в указанные страны запрещается. В Российской Федерации защита персональных данных прежде всего закреплена на конституционном уровне. В качестве обеспечения действия статьи 24 Конституции РФ устанавливается особый режим обращения с персональными данными. Такая информация находится под особой защитой государства, поскольку ее неправильное использование нарушает право на неприкосновенность частной жизни, конституционный запрет сбора, хранения, использования и распространения информации о частной жизни без согласия и ведома лица. При применении ст. 24 Конституции РФ как нормы прямого действия или в качестве основания развития отраслевого (межотраслевого) законодательства о правах и свободах человека и гражданина необходимо ее положения сопоставлять с положениями ст. 23, 25, 28, 29 Конституции РФ, детализирующими право на неприкосновенность частной жизни и конституционные способы ее защиты <7>. -------------------------------- <7> Научно-практический комментарий к Конституции РФ / Отв. ред. В. В. Лазарев. М., 2001. С. 128.
В настоящий момент правовая основа защиты персональных данных в России стала приобретать ясные очертания, формируясь по двум направлениям. Во-первых, принимается специализированное законодательство, которое содержит правовые нормы, гарантирующие неприкосновенность частной жизни и регулирующие сферу защиты персональных данных. К специализированному законодательству относятся такие правовые акты, как Федеральный закон от 27 июля 2006 г. "О персональных данных", Федеральный закон от 27 июля 2006 г. "Об информации, информационных технологиях и о защите информации", Указ Президента РФ N 188 от 6 марта 1997 г., утверждающий Перечень сведений конфиденциального характера <8>, и другие. -------------------------------- <8> См.: Собрание законодательства РФ. 1997. N 10. Ст. 1127.
Во-вторых, институт персональных данных в российском праве формируется за счет норм, содержащихся в иных федеральных законах. К ним следует отнести: Трудовой кодекс РФ, Федеральный закон N 27-ФЗ от 1 апреля 1996 г. "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования" (в ред. от 31 декабря 2002 г.), Федеральный закон N 115-ФЗ от 7 августа 2001 г. "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" (в ред. от 30 октября 2002 г.), Федеральный закон N 143-ФЗ от 15 ноября 1997 г. "Об актах гражданского состояния" (в ред. от 8 декабря 2003 г.). Федеральный закон N 24-ФЗ 1995 г. "Об информации, информатизации и защите информации" был подвергнут критике из-за того, что имел отсылочный характер и соответственно не исполнялся из-за отсутствия необходимых для реализации соответствующих подзаконных актов, предусматривающих соответствующие гарантии охраны и защиты персональных данных личности. В рамках реформирования информационного законодательства были приняты Федеральный закон N 152-ФЗ "О персональных данных", который вступил в силу 25 января 2007 г., и Федеральный закон N 149-ФЗ "Об информации, информационных технологиях и о защите информации". Новый Федеральный закон "Об информации, информационных технологиях и о защите информации" регулирует отношения, возникающие при осуществлении права на поиск, получение, передачу, производство и распространение информации, а также при применении информационных технологий и обеспечении защиты информации. Действие Закона не распространяется на отношения, возникающие при правовой охране результатов интеллектуальной деятельности и приравненных к ним средств индивидуализации. Закон вводит такие понятия, как "информационные технологии", "информационно-телекоммуникационная сеть", "обладатель информации", "электронное сообщение", "оператор информационной системы" <9>. Обладателями информации могут быть физические и юридические лица, Российская Федерация, субъекты РФ, государственные органы и муниципальные образования. В Законе установлены требования, предъявляемые к распространению, предоставлению информации, а также к ее защите. -------------------------------- <9> См.: Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" // Собрание законодательства РФ. 2006. N 31 (ч. 1). Ст. 3448.
Вступление в силу Федерального закона от 27 июля 2006 г. "О персональных данных" предполагает постепенное формирование правовой культуры защиты персональных данных, что, в свою очередь, приблизит Россию к равноправному сотрудничеству с зарубежными государствами в области защиты персональных данных, а также решит большинство проблем, существовавших в правовом обеспечении неприкосновенности персональных данных граждан. Данный Закон регулирует отношения, связанные с обработкой персональных данных, осуществляемых федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими и физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации. Целью Закона является обеспечение защиты прав и свобод человека при обработке персональной информации о нем, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну. В статье 3 Закона персональные данные определены как "любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация". Основу Закона составляют базовые правила-принципы и условия обработки персональных данных, которые были разработаны во исполнение норм Конвенции Совета Европы "О защите физических лиц при автоматизированной обработке персональных данных", а также положений Директивы Европейского Парламента и Совета Европы 95/46/EC "О защите личности в отношениях обработки персональных данных и свободном обращении этих данных" и Директивы Европейского Парламента и Совета Европы 2002/58/EC от 12 июля 2002 г., касающейся защиты персональных данных и защиты личных данных в электронном коммуникационном секторе. В Законе определены критерии законности действий, связанных с обработкой персональных данных, а также пределы ограничения прав субъектов персональных данных в связи с обеспечением общественных интересов, безопасности государства и общества. Законом вводятся определенные виды ограничений на обработку информации персонального характера, что, без сомнения, вызовет проблему баланса между необходимостью сохранения конфиденциальности персональных данных и свободы выражения мнения, поскольку средства массовой информации всегда чутко и настороженно относятся к любого рода препятствиям в свободе обращения информации. В ходе второго чтения Федерального закона "О персональных данных" была внесена поправка об общедоступных источниках персональных данных - справочниках, телефонных и адресных книгах. С письменного согласия субъекта персональных данных в справочники может включаться фамилия, имя, отчество, номер телефона, место жительства. При этом такие сведения могут быть исключены из общедоступных источников по требованию субъекта персональных данных. Согласно Закону оператор вправе получать от субъекта персональных данных только те данные, которые необходимы для достижения цели их обработки и только при согласии самого субъекта персональных данных. При этом оператор должен обеспечить должную конфиденциальность полученной информации. Новеллой является ст. 15 Закона, согласно которой обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных <10>. В случае требования субъекта персональных данных оператор обязан немедленно прекратить обработку данных. Включение данного положения в Закон "О персональных данных" очень полезно и актуально в настоящее время ввиду чрезмерной назойливости всевозможных торговых фирм для продвижения своей продукции, ее рекламы. -------------------------------- <10> Федеральный закон N 152-ФЗ от 27 июля 2006 г. "О персональных данных" // Собрание законодательства РФ. 2006. N 31. Ст. 3451.
Закон также определяет принципы трансграничной передачи данных. Необходимо отметить, что эти принципы соответствуют международно-правовым актам в области защиты персональных данных (например, Директивам Европейского союза). Указанное обстоятельство существенно приближает наше государство к полноценному сотрудничеству в обмене персональными данными с зарубежными странами и помогает обеспечить соответствующий уровень защиты персональных данных и права на неприкосновенность частной жизни при передаче персональных данных в другие государства. Закон "О персональных данных" примечателен тем, что распространяет принципы сбора и обработки персональных данных на сбор и обработку сведений, характеризующих физиологические особенности организма человека, на основе которых его можно однозначно идентифицировать, то есть биометрические персональные данные (отпечатки пальцев, ладони, результаты анализа ДНК, цифровой образ лица, сетчатки глаз и другие). Это объясняется желанием законодателя предугадать те сложности, которые будут иметь место в правоприменительной практике в связи с введением в обиход паспортов с биометрическими данными, что уже практикуется во многих зарубежных государствах. Во многих странах с целью лучшей реализации законодательных норм о защите и порядке работы с персональной информацией граждан, а также четкого понимания этих норм гражданами были созданы специальные контрольно-надзорные государственные структуры. В России контроль и надзор за соответствием обработки персональных данных требованиям Закона "О персональных данных" закреплены за федеральным органом исполнительной власти - уполномоченным органом по защите прав субъектов персональных данных. Введение уполномоченного контрольного органа по защите прав субъектов персональных данных в системе исполнительной власти влечет за собой вопрос о степени независимости уполномоченного органа. Иными словами, речь идет о степени беспристрастности и справедливости в механизме осуществления полноценной защиты прав субъектов персональных данных от возможных нарушений со стороны органов исполнительной власти, если уполномоченный на то орган сам принадлежит к исполнительной власти. Тем более что по Закону именно Правительство РФ устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах в персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных. В Законе также перечислены полномочия, обязанности уполномоченного органа по защите прав субъектов персональных данных, но ничего не сказано о его ответственности, кроме того, что данный орган должен ежегодно представлять отчет о своей деятельности Президенту РФ, Правительству РФ, Федеральному Собранию РФ, и того, что отчет публикуется в средствах массовой информации. Помимо права доступа гражданина к своим персональным данным, каждое лицо также имеет конституционное право на доступ к официальным данным (актам), касающимся его лично. Как и в случае с персональными данными, если собранные официальные данные (акты) оказываются не соответствующими действительности (даже вследствие их неполноты), затронутое лицо имеет право требовать их исправления. Если государство собирает данные противоправно или хранит собранную информацию слишком долго (или без надобности), то затронутое лицо имеет право требовать их уничтожения. Взаимодействие ст. 45 и 24 Конституции РФ гарантирует также процессуальное право на доступ к судебному делу. Право на информационное самоопределение отличается от процессуального права на доступ к судебному делу, в частности, тем, что воспользоваться процессуальными правами на доступ к судебному делу возможно только в рамках идущего процесса; эти права касаются всех актов, имеющих значение для исхода процесса; особая близость к частной жизни лица здесь не требуется. В противоположность этому претензия на ознакомление с актами в рамках информационного самоопределения (ст. 24 и ч. 1 ст. 23 Конституции РФ) требует удостоверения (подтверждения доказательствами) заинтересованности в таком доступе. От свободы информации, согласно ч. 4 ст. 29 Конституции РФ, право на информационное самоопределение (ст. 24 и ч. 1 ст. 23 Конституции РФ) отличается личной заинтересованностью в соответствующих актах, в то время как свобода информации обоснована преимущественно потребностями свободного демократического общества, личной заинтересованности здесь преимущественно не наблюдается <11>. -------------------------------- <11> Экштайн К. Основные права и свободы. По российской Конституции и Европейской конвенции. М., 2004. С. 93.
Можно сказать, что на сегодняшний день в правовой защите персональных данных в нашей стране наметились большие сдвиги, в целом сложившаяся правовая ситуация после принятия Федеральных законов "Об информации, информационных технологиях и о защите информации" и "О персональных данных" обнадеживающая, соответствует международным стандартам в защите персональных данных в обеспечении неприкосновенности частной жизни.
Название документа