Конфиденциальность как элемент правового режима персональных данных
Широкое использование термина «конфиденциальность» является сравнительно новым для российского законодательства и практики, которые до появления Федерального закона «Об информации, информационных технологиях и о защите информации»1, где в ч.
1 статьи 2 было дано определение этому термину, использовали его лишь эпизодически. Впоследствии многие законодательные акты стали приводиться в соответствии с этими положениями и чаще использовать этот термин при обозначении информации с ограниченным доступом, взамен ранее использовавшегося термина «конфиденциальная информация», о чем уже ранее упоминалось в работе.Прежде чем перейти к анализу непосредственно содержания термина «конфиденциальность», как элемента правового режима персональных данных, стоит сделать некоторое отступление, касающееся взаимоотношения понятий «информационная безопасность», «защита информации» и «конфиденциальность». Такая необходимость целесообразна, учитывая тот факт, что часто эти термины употребляются в одних и тех же текстах.
Общий анализ юридической литературы и источников позволяет говорить о некоторой взаимозаменяемости этих понятий. Наибольшие расхождения, пожалуй, могут возникнуть при трактовке термина «информационная безопасность», который в большинстве случаев, как,
Л
например, у В.Н. Лопатина, так же как в большинстве программных
-э
документов, например в Доктрине информационной безопасности РФ , определяется как «состояние защищенности личности, общества и [250] [251] [252] государства от внутренних и внешних информационных угроз, при котором обеспечиваются реализация конституционных прав и свобод человека и гражданина, достойные качество и уровень жизни граждан, суверенитет, территориальная целостность и устойчивое социально-экономическое развитие Российской Федерации, оборона и безопасность государства»1. Аналогичное по сути определение затем было использовано в Федеральном законе «Об участии в международном информационном обмене» (утратил Л силу) . Как видно, информационная безопасность - это определенное состояние, обеспечивающее реализацию интересов личности, общества и государства в информационной сфере, которое достигается или является целью деятельности по ее обеспечению. Лишь в некоторых случаях можно встретить так называемую «узкую» трактовку термина «информационная безопасность», как например «меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия, и -э задержек в доступе» . В этом случае речь обычно идет об информационной безопасности каких-либо объектов информации, как то: информационная система, данные или иной конкретный вид информации. Словосочетание «защита информации» является достаточно часто употребляемым, но, как правило, его трактовка отсутствовала в тексте нормативных документов и в доктринальных источниках, к тому же в юридических текстах речь обычно шла скорее о защите не собственно информации, а прав на нее, как например «защита права на доступ к информации» или «защита прав на информацию 4 ограниченного доступа» . С появлением относительно четких законодательных положений, определяющих содержание защиты информации, вопрос был в определенной [253] [254] [255] [256] степени разрешен. Ст. 16 Федерального закона «Об информации, информационных технологиях и о защите информации»1 указывает на то, что в содержание «защиты информации» входит принятие правовых, организационных и технических мер, направленных: 1) на обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; 2) соблюдение конфиденциальности информации ограниченного доступа; 3) реализацию права на доступ к информации. Соответственно защита информации - это определенный комплекс мер правовых, организационных и технических мер, направленный на обеспечение целостности информации (воспрепятствование уничтожению, модификации, неправомерному блокированию, копированию, предоставлению, распространению и иным неправомерным действиям), соблюдение ее конфиденциальности (создание условий, исключающих неправомерный доступ к информации, ее распространение, разглашение), а также создание условий для реализации права на информацию. Безусловно, эти действия в целом направлены на обеспечение информационной безопасности - создание состояния защищенности интересов личности, общества и государства в информационной сфере и их реализацию. В этом случае следует согласиться с мнением И.Л. Бачило[257] [258], что обеспечение информационной безопасности не ограничивается только защитой информации, которая является важнейшей, но не единственной частью этой деятельности, требующей обращения к политике информатизации в целом, к сложной оценке процессов возникновения и проявления угроз безопасности. В итоге вполне можно установить определенную взаимосвязь между понятиями «информационная безопасность», «защита информации» и «конфиденциальность», которые во многом соотносятся как общее и частное. Конфиденциальность при этом можно рассматривать как один из элементов защиты информации, а последнюю - как часть информационной безопасности. Возвращаясь к термину «конфиденциальность», можно отметить его сравнительно широкое использование в законодательных текстах, в частности, такие положения присутствуют в ст. 7 Федерального закона «О персональных данных»1, ст. 6 Федерального закона «Об основах Л социального обслуживания граждан в Российской Федерации» , ст. 6 Федерального закона «О финансовом оздоровлении сельскохозяйственных товаропроизводителей» , ст. 22 Федерального закона «О третейских судах в РФ»[259] [260] [261] [262], ст. 9 Федерального закона «О государственной защите судей, должностных лиц правоохранительных и контролирующих органов»[263], в ст. 41 Закона РФ «О средствах массовой информации»[264] [265] и многих других законодательных актов. Одним из первых актов, где стал использоваться этот термин, является Федеральный закон «О коммерческой тайне» . Практически с самого его создания термин «конфиденциальность» стал своего рода лейтмотивом закона и был использован в определении самого понятия «коммерческая тайна», которая трактовалась через «режим конфиденциальности», да и далее по тексту закона он использовался неоднократно. Действующая сейчас редакция содержит его упоминание 18 раз. Причем определение самому термину «конфиденциальность» так и не было дано, вплоть до его появления в Федеральном законе «Об информации, информационных технологиях и о защите информации» в 2006 году1. Современное законодательство трактует его как «обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя». Надо сказать, что схожие трактовки и положения достаточно часто можно теперь встретить в целом ряде законов и нормативно-правовых актов, однако с некоторыми «нюансами». Дело в том, что термин «конфиденциальность» или те случаи, когда законодательство упоминает его, может иметь некоторые различия в трактовке или содержании. Достаточно часто для этого используются указание на необходимость субъекта, как правило - конфидента тайны, воздерживаться от определенных действий с информацией, в частности «не передавать », «не раскрывать », «не разглашать[266] [267] [268] [269]», «не сообщать[270]», «не предоставлять[271] [272]», «не 7 распространять» . Такое обилие терминов, с одной стороны, выглядит странным, однако по этому поводу возможны некоторые комментарии. Основной обязанностью конфидента является сохранение полученных сведений в тайне и иных ограничений на обработку информации, которые установлены ее обладателем, т.е. субъектом тайны. Следовательно, все указанные термины используются для формулировки все той же обязанности конфидента по сохранению тайны сведений, т.е. ограничивают его право на какую-либо их передачу за пределы отношений «обладатель - конфидент». Однако в использовании вышеперечисленных терминов могут быть некоторые отличия. В частности, в определенных случаях предполагается, что информация как бы покидает круг отношений «обладатель - конфидент», не становясь при этом открытой и общедоступной, в таком случае, попадая к другому конфиденту, изменяется ее правовой режим у последнего. И если такие действия предполагаются, а иногда это происходит и без согласия обладателя, например в силу требований закона, то соответственно часто используется формула «не разглашать», т.е. «не предавать огласке» или, иными словами, исключить смену правового режима информации с режима информации ограниченного доступа на режим общедоступной информации. В иных случаях, когда предполагается, что права обладателя могут быть нарушены, в том числе самим фактом передачи сведений третьим лицам пусть и на условиях соблюдения конфиденциальности отношений, т.е. «конфидент - субконфидент», то в таком случае вполне логичным будет описание обязанностей конфидента как «не сообщать», «не передавать», «не раскрывать», имея в виду в том числе и разглашение информации, как передачу ее неограниченному кругу лиц. В целом можно говорить о том, что общий анализ существующих законодательных положений определяет термин «конфиденциальность» как требование, обращенное к конфиденту воздерживаться от действий по передаче или раскрытию информации третьим лицам, т.е. не участникам отношений «обладатель - конфидент» или неопределенному кругу лиц. В таком случае возникает вопрос о достаточности подобных действий для защиты интересов обладателя. Как выясняется, это далеко не всегда так. В частности, Федеральный закон «О коммерческой тайне»[273] одним из первых указывает на необходимость «охраны конфиденциальности информации», которая предусматривает ряд фактически активных действий - мероприятий по выполнению этого требования. Более того, смысл статьи 10 этого закона напрямую связывает выполнение или реализацию этих мер с применением к той или иной информации режима коммерческой тайны. Эти меры могут быть также дополнены иными, как то - применение технических средств и методов защиты информации. Далее в п. 5 всё той же статьи 10 указывается на то, что применяемые меры являются разумными и достаточными, если выполнены два условия: «исключается доступ к информации, составляющей коммерческую тайну, без согласия ее обладателя и обеспечивается возможность использования информации работниками и передачи ее контрагентам без нарушения режима коммерческой тайны». Как видим, термин «конфиденциальность» в таком случае подразумевает осуществление определенных действий по защите информации от несанкционированного обладателем доступа к ней со стороны третьих лиц, невыполнение которых, по-видимому, можно рассматривать как отказ к применению в отношении этой информации режима коммерческой тайны, следовательно, о его отсутствии. Надо сказать, что представленный в Федеральном законе «О коммерческой тайне» перечень является в некотором роде аналогичным мероприятиям по защите государственной тайны, который можно представить в упрощенном виде: - определение объекта защиты, т.е. какая информация защищается, ее перечень; - принятие для защиты организационных мер; - определение лиц, имеющих право доступа; - определение порядка, правил обработки, обращения информации; - определение ответственных лиц, подразделений за организацию мероприятий по защите информации; - учет лиц, получивших доступ, и материальных носителей информации; - использование для защиты информации технических средств: использование программных, программно-технических, технических средств (средства аутентификации, криптографии, резервного хранения, видеонаблюдения, охраны, сигнализации, антивирусные средства и др.). Безусловно, напрямую в Законе РФ «О государственной тайне», в отличие от Федерального закона «О коммерческой тайне», такой перечень не присутствует отдельно в одной из статей, но его вполне можно сформировать из общего системного анализа закона с поправкой на «секретность» вместо «конфиденциальности» и некоторые другие особенности. К сожалению, другие законодательные и нормативные акты, как правило, никак не раскрывают суть того, каким образом будет обеспечиваться конфиденциальность сведений, т.е. не раскрывают, в чем состоит специальный режим той или иной тайны. Аналогичного мнения придерживается и Е.К. Волчинская[274], говоря о конфиденциальности применительно к нотариальной тайне, она отмечает отсутствие соответствующих положений в большинстве законодательных и нормативных актов, включая нормы законодательства о нотариате. Далее в своих рассуждениях Е.К. Волчинская совершенно справедливо отмечает, что конкретно режим тайны определен только в случае государственной и коммерческой тайны, а также тот факт, что без этого (т.е. без указания на конкретные меры по обеспечению «конфиденциальности») режим «нотариальной тайны» не выглядит «завершенным и убедительным». Ст. 16 Федерального закона «Об информации, информационных технологиях и о защите информации» также содержит лишь достаточно общее указание на конфиденциальность, как одно из направлений правовых, организационных и технических мер по обеспечению защиты информации, в рамках которых обладатель, оператор информационной системы должен обеспечить: - «предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации; - своевременное обнаружение фактов несанкционированного доступа к информации; - предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации; - недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование; - возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней; - постоянный контроль над обеспечением уровня защищенности информации»[275]. Примечательно, что федеральный закон о персональных данных также первоначально не содержал никаких указаний на конкретные меры защиты, которые должен был предпринять оператор для защиты персональных данных в информационных системах, а лишь содержал общее требование предпринимать «организационные и технические меры» для защиты персональных данных, причем до 2009 года в обязательном порядке указывал на необходимость использования шифровальных (криптографических) средств, совершенно не делая различий между разными информационными системами, объемами данных и других обстоятельств, что серьезным образом затрудняло реализацию закона и стоимость таких мероприятий. Указанные положения неоднократно подвергались критике как со стороны операторов, так и со стороны ученых-юристов. Итогом работы над дальнейшим совершенствованием законодательных положений стала существенная переработка статьи 19, а также появление статьи 18.1 Федерального закона «О персональных данных», которые в действующей редакции уже содержат конкретный и в достаточной степени детальный перечень мер, как организационных, так и технических, которые должные быть приняты оператором для защиты персональных данных. В целом этот перечень вполне можно уложить в уже озвученный выше алгоритм защиты информации применительно к коммерческой и государственной тайне: 1. Определение объекта защиты. Сюда можно отнести положения ст. 2 Закона, а также ст. 18 и ст. 22, которые в совокупности обязывают оператора определить объем обрабатываемых персональных данных. 2. Принятие организационных мер: - принятие соответствующих локальных актов и разработка политики конфиденциальности, определяющих порядок и правила обработки персональных данных оператором (ст. 18.1, ч. 1, п. 2, 4, 5; ст. 18.1, ч. 2, п. 4; ст. 19, ч. 2, п. 8); - назначение и определение ответственных лиц и подразделений за организацию обработки персональных данных (ст. 18.1, ч. 1, п. 1); - ознакомление работников оператора, непосредственно осуществляющих обработку, с нормами законодательства о персональных данных, политикой конфиденциальности и локальными нормативными актами об обработке персональных данных и их обучение, что фактически позволяет говорить о них как о специальных субъектах юридической ответственности (ст. 18.1, ч. 1, п. 6); - учет лиц, имеющих доступ к персональным данным, и учет материальных носителей (ст. 19, ч. 2, п. 5 и 8); - иные организационные меры по контролю (аудиту) обработки персональных данных и их защите (ст. 18.1, ч. 2, п. 6 и 9; ст. 19, ч. 1, п. 4); 3. Использование технических мер по защите информации (ст. 18.1, ч. 1, п. 3 и ст. 19, ч. 2, п. 2). По мнению автора, более логично этот общий алгоритм изложен в утвержденном Постановлением Правительства от 21 марта 2012 года № 211[276] Перечне мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами». Несмотря на то, что Перечень относится только к одной из групп операторов - государственным и муниципальным органам, но в целом содержит общий порядок действий по организации защиты информационных систем персональных данных, укладывающийся на все 100% в существующие и уже сложившиеся алгоритмы защиты информации, используемые в случае государственной и коммерческой тайны. Отличие закона о персональных данных заключается и в значительно более подробной детализации необходимых к применению оператором организационных и технических мер, причем в зависимости от определенных параметров информационных систем персональных данных, что выглядит вполне логично, учитывая, что в первую очередь при защите персональных данных преследуются интересы субъекта, а не оператора. Более подробно применяемые организационные и технические меры устанавливаются исходя из типов информационных систем. Так, в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных (далее - Требования)[277], они подразделяются на 5 основных видов, в зависимости от категорий персональных данных, обрабатываемых в них: - информационные системы, в которых обрабатываются специальные категории персональных данных (касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных); - информационные системы, в которых обрабатываются биометрические персональные данные; - информационные системы, в которых обрабатываются общедоступные персональные данные; - информационные системы, в которых обрабатываются персональные данные работников/сотрудников оператора; - информационные системы, в которых обрабатываются иные категории персональных данных. В то же время в соответствии с Требованиями выбор организационных и технических мер защиты информации в информационных системах персональных данных зависит от 3 критериев: ■ Категорий персональных данных. Соответственно обработка в информационной системе специальных категорий персональных данных или биометрических персональных данных существенно повышает требования к их защищенности, в то время как обработка только общедоступных персональных данных существенно их снижает. ■ Объема данных. Требования защищенности информационной системы повышаются с возрастанием количества субъектов персональных данных, данные о которых содержатся в системе. ■ Видов угроз, которые актуальны для информационной системы в части появления недокументированных (недекларированных) возможностей в системном или прикладном программном обеспечении. Всего три типа угроз: для 1-го типа вероятны недокументированные (недекларированные) возможности в системном программном обеспечении; для 2-го типа - в прикладном программном обеспечении, для 3-го типа - иные недокументированные (недекларированные) возможности. Используя эти критерии, устанавливаются 4 уровня защищенности, каждый из которых со своим обязательным перечнем организационных и/или технических мер, обусловленных определенной комбинацией названных выше критериев. Соответствие уровня защищенности вышеуказанным критериям можно представить в виде следующей таблицы (см. табл. 1). Таблица 1 персональных данных тип тип тип кат. ПД2 мет- рич. ПД ПД доступные ПД 1 ИСПД - информационная система персональных данных 2 ПД - персональные данные В соответствии с данными таблицы для установления того и ли иного уровня защищенности достаточно наличия у информационной системы одного из наборов соответствующих показателей, каждый набор при этом соответствует одной из строчек таблицы, т.е. для установления, к примеру, 1 ровня защищенности достаточно наличия одного из двух наборов критериев, а для 2-го — шести и т.д. Каждый уровень защищенности обеспечивается путем выполнения оператором информационной системы персональных данных соответствующих требований, которые целесообразно представить также в виде таблицы (см. табл. 2): Таблица 2 защищенности ИСПД Анализ приведенных данных позволяет говорить о том, что объем требований, а, следовательно, и уровень защищенности информационной системы повышается от четвертого уровня к первому уровню. Наиболее защищенным является первый уровень, для реализации которого к оператору предъявляется наибольший объем требований. Приведенные перечни требований к организационным и техническим мерам защиты информационных систем персональных данных были еще более подробно раскрыты в Приказе ФСТЭК от 18 февраля 2013 года, который уже детально раскрывает состав и содержание организационных и технических мер по защите персональных данных при их обработке в информационных системах персональных данных. На основании этого документа в зависимости от требуемого уровня защищенности оператору необходимо применять следующие меры по обеспечению безопасности информационных систем персональных данных: • «идентификация и аутентификация субъектов доступа и объектов доступа; • управление доступом субъектов доступа к объектам доступа; • ограничение программной среды; защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные; • регистрация событий безопасности; • антивирусная защита; • обнаружение (предотвращение) вторжений; • контроль (анализ) защищенности персональных данных; • обеспечение целостности информационной системы и персональных данных; • обеспечение доступности персональных данных; • защита среды виртуализации; • защита технических средств; • защита информационной системы, ее средств, систем связи и передачи данных; • выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них; • управление конфигурацией информационной системы и системы защиты персональных данных»[278]. Приведенные меры могут иметь различное содержание и также варьируются в зависимости от требуемого уровня защищенности информационной системы и предполагаемых типов угроз, описанных ранее, на основании чего формируется базовый набор мер, соотношение которых подробно раскрывается в Приложении к составу и содержанию мер по обеспечению безопасности персональных данных в информационных системах персональных данных. Предполагается, что оператор на основании анализа информационной системы и ее параметров адаптирует указанный базовый набор мер, исходя из структурно-функциональных ее характеристик. При этом оператор обязан проводить оценку эффективности принимаемых мер не реже одного раза в 3 года, как самостоятельно, так и с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите информации. В соответствии с частью 1 статьи 12 Федерального закона «О лицензировании отдельных видов деятельности»[279] к лицензируемым видам деятельности относятся: деятельность по разработке и производству средств защиты конфиденциальной информации и деятельность по технической защите конфиденциальной информации. На основании этих положений приняты соответствующие постановления Правительства «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации» и «О лицензировании деятельности по технической защите конфиденциальной информации». Оба эти документа не проводят никакого различия между различными видами конфиденциальной информации, а, следовательно, в одинаковой степени применимы для оценки применяемых оператором мер по защите конфиденциальности персональных данных, в тех случаях, когда требуется использование технических средств. Последнее еще более показывает на общность мероприятий, методик и алгоритмов защиты информации ограниченного доступа, включая обеспечение ее конфиденциальности. Таким образом, конфиденциальность информации является, с одной стороны, необходимым элементом защиты информации ограниченного доступа, с другой стороны, определенным ее состоянием, когда исключается неправомерный доступ к ней, достигаемым путем реализации комплекса мер правового, организационного и технического характера. Соответственно «конфиденциальность следует трактовать как - элемент правового режима информации ограниченного доступа, выражающегося в реализации конфидентом комплекса мероприятий правового, организационного и технического характера, направленного на исключение возможности неправомерного доступа к ней». Конфиденциальность в определенном смысле можно рассматривать и как необходимое «режимное» требование, обращенное к конфиденту - оператору, работнику, иному лицу, которое имеет доступ к конфиденциальной информации на законном основании. Указанное требование может быть установлено обладателем информации или на основании закона. Требует также определенного пояснения и тот факт, что требование конфиденциальности может иметь различное содержание, в том числе и применительно к различным видам правоотношений. Все вышесказанное в большей степени применимо к административным, информационным, гражданско-правовым отношениям, тогда как в трудовых отношениях требование «конфиденциальности» может иметь несколько иное значение, которое скорее можно рассматривать как часть должностных обязанностей, связанных с определенным порядком работы с информацией при их исполнении.
Требуемый уровень защищенно сти Предполагаемый тип угроз Категории Объем данных (количество субъектов, данные о которых содержит ИСПД1) 1-й 2-й 3-й Спец. Био- Иные Обще Более 100 тыс. Менее 100 тыс. 1-й уровень Х Х Х Х Х Х 2-й уровень Х Х Х Х Х Х Х Х Х Х Х Х Х Х Х 3-й уровень Х Х Х Х Х Х
Х Х Х Х Х Х Х Х 4-й уровень Х Х Х Х Х
Уровни Требования, необходимые к выполнению оператором № 1-й уровень 2-й уровень 3-й уровень 4-й уровень Организация режима обеспечения безопасности помещения, где размещается ИСПД, препятствующего возможности неконтролируемого проникновения или пребывания, лиц, не имеющих доступа • Обеспечение сохранности носителей ПД • Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к ПД, обрабатываемым в ИС, необходим для выполнения ими служебных (трудовых) обязанностей • Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз • Назначение должностного лица (работника), ответственного за обеспечение безопасности ПД в ИС • Автоматическая регистрация в журнале полномочий сотрудника оператора содержащимся в ИС безопасности изменений по доступу к ПД, • Не применяются Не применяются Не применяются Создание структурного подразделения, ответственного за обеспечение безопасности ПД в ИС либо возложение ее на имеющееся структурное подразделение •