Организационно-правовые проблемы реализации права на безопасность информации о частной жизни и персональных данных
Теоретико-методологическое исследование правового обеспечения информационной безопасности личности напрямую выводит на анализ проблем обеспечения правом тайны личной жизни, личных данных, включая вопрос эффективной защиты персональных данных.
Не подвергнуть сомнению тот факт, что «возрастает угроза информационной безопасности в личной и семейной жизни граждан, при защите персональных их данных, поскольку имеет место формальность применения правовых норм как в сфере информационных технологий, так и сфере защиты персональных данных»[370].Останавливаясь на последнем, отметим, что по мере развития глобального информрационного общества вопросы защиты персональных данных становятся все актуальнее и требуют от законодателя решительных действий.
Последнее подтверждение этому принятие в третьем чтении в конце января 2017 года Государственной Думой законопроекта[371], предусматривающего повышение в несколько раз штрафов за нарушения при обработке персональных данных. Предполагаемое введение в Кодекс Российской Федерации об административных правонарушениях семи новых статей, предполагаемое начало действия норм которых - июль 2017 года, значительно повысит максимальные значения размера штрафа для юридических лиц в 10 тыс. рублей. Увеличение штрафа до 75 тыс. рублей (за обработку персональных данных без письменного согласия субъекта) для интернет-магазинов, страховых компаний, банков, сотовых операторов, турагентств (а это по данным Роскомнадзора на 26.02.2017 года[372] - 372 тысячи 649 операторов), обрабатывающих персональные данные, безусловно, может серьезно сказаться на правоприменительной практике, на эффективности правового регулирования общественных отношений, связанных с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов РФ, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств
автоматизации, регулируемых нормами федерального закона «О персональных данных»[373], претерпевшего множество редакции.
Согласно ст. 3 Закона под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). В свою очередь, под обработкои персональных данных понимается любое деиствие (операция) или совокупность деиствии (операции), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Законом определены основополагающие принципы обработки персональных данных:
1) обработка персональных данных должна осуществляться на законной и справедливой основе;
2) обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
3) не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
4) обработке подлежат только персональные данные, которые отвечают целям их обработки;
5) содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные
данные не должны быть избыточными по отношению к заявленным целям их обработки;
6) при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
7) хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.Следует отметить, что принятию этого закона предшествовала ратифицикация Российской Федерацией Конвенции Совета Европы о защите физических лиц при автоматизированой обработке персональных данных[374].
Позднее были приняты другие важные международные документы, такие как Руководящие принципы Организации по экономическому сотрудничеству и развитию о защите приватности в связи с трансграничной передачей персональных данных. Эти положения определяют персональную информацию как данные, которые нуждаются в защите на каждом этапе от сбора до хранения и распространения. Право граждан на доступ к своим данным и внесение в них изменений стало главной составляющей этих правил.
В разных законах и правилах по-разному определяются условия защиты данных. Повсеместно принято считать, что персональная информация должна быть:
- получена честным и законным путем;
- использована только для заранее определенных целей;
- соответствовать задаче, ради которой она собиралась;
- точной и свежей;
- обрабатываться только с согласия субъектов ее получения;
- доступна субъекту данных;
- защищена от несанкционированного доступа;
- уничтожена после того, как цель достигнута.
Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее — оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора. Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе, которая, в свою очередь, является системой, обрабатывающей специальные категории персональных данных, если в ней обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.
В свою очередь, организатор распространения информации в сети «Интернет», согласно ст. 10.1 Федерального закона «Об информации, информационных технологиях и о защите информации», как «лицо, осуществляющее деятельность по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети «Интернет», обязано не только хранить на территории Российской Федерации, но также предоставлять уполномоченным государственным органам, осуществляющим оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации, в случаях, установленных федеральными законами, информацию (с 1 июля 2018 года): 1) о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков, видео- или иных электронных сообщений пользователей сети «Интернет» и информацию об этих пользователях в течение одного года с момента окончания осуществления таких действий; 2) текстовые сообщения пользователей сети «Интернет», голосовую информацию, изображения, звуки, видео-, иные электронные сообщения пользователей сети «Интернет» до шести месяцев с момента окончания их приема, передачи, доставки и (или) обработки». В настоящее время Минкомсвязью разработан проект правил хранения такой информации[375]. По проекту хранить и передавать госорганам, ведущим оперативно-розыскную деятельность, нужно будет данные пользователей, которых можно идентифицировать по телефону, паспорту, геолокации.
Предполагается, что хранить будут информацию о пользователе, который:
- зарегистрировался или авторизовался на интернет-сервисе с использованием российского сетевого адреса;
- указал при регистрации российский паспорт или другой российский документ, удостоверяющий личность;
- указал при регистрации или при использовании сервиса свои российские телефонные номера;
- пользуется сервисом через устройства или программы, которые передают компании российскую геолокацию пользователя.
Информационная система может также обрабатывать биометрические персональные данные, сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
Необходимо отметить, что в отношении дальнейшего совершенствования законодательства о персональных данных подробно анализирует норму- дефиницию «биометрические персональные данные» Г.Г. Камалова[376], верно отмечая, что «используемое законодателем определение биометрических персональных данных не охватывает всех аспектов поведенческих особенностей человека, на основе которых он может быть установлен. Система идентификационных признаков человека неоднородна, и следует построить их иерархическую систему, чтобы эффективно использовать современные биометрические технологии и строить систему обеспечения безопасности персональных данных»[377].
Связана с защитой персональных данных и не только проблема создания системы эффективного электронного, в том числе межведомственного, документооборота. В большинстве случаев организации и граждане обращаются в государственные органы для регистрации и подтверждения своих прав, для защиты своих интересов и т.д. Совершение этих действии сопровождается огромным количеством документов, и их конечным результатом также чаще всего является документ. Чтобы граждане и организации согласились общаться через интернет с государством, они должны быть уверены, что все их права будут документированы в электронном виде не менее надежно, чем на бумаге. Сами государственные органы должны быть уверены в целостности и аутентичности представленных гражданами и организациями электронных документов. Обозначенная проблематика в условиях глобального информационного общества будет только усложняться, по мере проникновения системы электронного документооборота в различные сферы жизни информационного государства. Так, в настоящее время у взыскателей и должников, согласно соответствующим изменениям норм законодательства об исполнительном производстве, не только появилось право, а сегодня уже и может быть практически реализовано, на приставу электронных обращений: заявлений, ходатайств, объяснений, отводов и жалоб - с 27 января 2017 года вступил в силу регламентирующий реализацию данного права Приказ Минюста России от 30.12.2016 № 333 «Об утверждении Порядка подачи заявлений, ходатайств, объяснений, отводов и жалоб стороной исполнительного производства должностному лицу Федеральной службы судебных приставов в форме электронного документа, подписанного стороной исполнительного производства электронной подпись» [378] .
Приказом предусмотрена возможность подачи электронного обращения, заверенного электронной подписью.Т.А. Поляковой отмечается, что «автоматизация процессов обмена данными между отдельными ведомственными информационными системами, а также обеспечение доступа к ним других органов государственной власти требует создания интеграционной информационнотехнологической и коммуникационной инфраструктуры для обработки и маршрутизации межведомственных информационных потоков с учетом требований по информационной безопасности»[379].
Положительно на системе электронного документооборота сказалось принятие 6 апреля 2011 г. Федерального закона № 63-ФЗ «Об электронной подписи»[380]. Этот Закон расширяет сферу использования и допустимые виды электронной подписи. Прежний закон разрешал применять только сертифицированные средства электронной подписи, а область ее использования ограничивалась гражданско-правовыми отношениями.
По-настоящему эффективность электронного правительства может быть использована только тогда, когда будет создана законодательная основа для создания и использования электронных документов.
Под электронным документооборотом понимают систему ведения документации, при которой массив создаваемых электронных документов поддерживается с помощью информационно-коммуникационных технологий на компьютерах, объединенных в сеть, дающую возможность формирования и ведения распределенной базы данных[381].
В соответствии со ст. 2 Федерального закона «Об информации, информационных технологиях и о защите информации» документированная информация — это зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством РФ случаях ее материальный носитель.
В свою очередь электронный документ — это документированная информация, представленная в электронной форме, т.е. в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах.
Характеризуя основные проблемные области в сфере электронного документооборота, С.И. Семилетов отмечает: юридическая сила как официальных документов, так и прочих индивидуальных актов, обеспечивается их соответствием требованиям, установленным законом и наличием вытекающих из них необходимых реквизитов. Одним из обязательных и важных реквизитов документа, обеспечивающим юридическую силу документа, является собственноручная подпись физического или должностного лица, составившего документ, отображающая волю и согласие подписавшего лица по отношению к содержанию документа. По реквизиту (подпись) идентифицируется подписавшее документ лицо, оцениваются его полномочия. Такая же функция электронной подписи и в электронном документе[382].
Безусловно, нормативно-правовое обеспечение юридической значимости электронных документов должно осуществляться с учетом правового режима электронного документа и его функционального назначения. В целях законодательного определения правового статуса электронных документов, по мнению Е.В. Семизоровой[383], «необходимо:
— установить правовые критерии признания электронного документа юридически значимым;
— предусмотреть ответственность за умышленное уничтожение электронных документов или их реквизитов, обеспечивающих качество юридической значимости электронного документа;
— определить и стандартизировать основные типы файлов, используемых для обработки, хранения и передачи документированной электронной информации, в целях обеспечения их адекватного отображения у всех участников электронного документооборота и взаимного обмена документированной информацией в рамках деятельности электронного правительства. Данный перечень должен носить открытый характер;
— предусмотреть меры, направленные на обеспечение доступности к информации в случае исключения каких-либо файловых типов из данного перечня;
— разработать и закрепить законодательно порядок осуществления третьей независимой стороной процедур перевода документов из традиционной формы в электронную и, наоборот, в том числе в случаях, когда документ изначально был создан и существовал до момента перевода исключительно в электронной форме».
В процессе развития электронного документооборота и технологии электронной подписи актуализируются вопросы защиты контента, подлинного содержания документа, как следствие - проблемы идентификации личности. Вопросы информационной безопасности личности в данном случае напрямую связаны с информационной безопасностью электронного документооборота.
М.В. Бородин точно отмечает, что «в доверенной сети и среде процедуры защиты электронных документов нужно отделять от собственно процедуры подписания электронного документа.
Основным способом защиты информации от правонарушителей считается внедрение так называемых средств «ААА» или «3А» (аутентификация, авторизация, администрирование). Реализация программы «Электронное правительство» происходит по двум направлениям, которые технологически достаточно похожи и основаны на криптографических алгоритмах с открытым ключом: идентификация и аутентификация личности; обеспечение
безопасности электронных транзакций»[384].
Безусловно, созданная в целях эффективности инфраструктуры электронного правительства Единая система идентификации и аутентификации[385] функционально призвана способствовать повышению уровня доверия личности в процессе получения государственных услуг в электронном виде. Рассуждая о необходимости повышенного внимания к современным биометрическим технологиям, направленным на высоконадежную идентификацию, какой является, к примеру, биометрическая идентификация личности по динамике подсознательных движений, М.В. Бородин, обращаясь к уже сложившемуся правовому режиму использования юридически значимого электронного документа, отмечает наличие «тонкого момента». Таким исследователем назван «жизненный цикл ключа электронной подписи в разрезе жизненного цикла документированных полномочий (право подписи) и, соответственно, правомерность использования ключа электронной подписи»[386]. Автором подчеркивается значение превентивных мер, предпринимаемых автором электронного документа. Это «защита ключа электронной подписи от утери, хищения; смена скомпрометированных ключей электронных подписей; действия, направленные на обеспечение режимного допуска к техническим средствам обработки конфиденциальной информации; соблюдение требований по обеспечению информационной безопасности на конкретном автоматизированном рабочем месте; своевременный отзыв сертификатов ключей проверки электронных подписей лиц, лишенных права подписи под определенными видами электронных документов»[387].
Вопрос правовой регламентации правоотношений в сфере электронного документооборота является одним из наиболее актуальных, требующих скорого решения.
Анализируя применительно к средствам массовой информации принцип неприкосновенности частной жизни, недопустимости сбора, хранения, использования и распространения информации о частной жизни лица без его согласия, закрепленный Федеральным законом от 27 июля 2006 г. № 149-ФЗ
«Об информации, информационных технологиях и о защите информации», авторы «Комментария к Закону РФ от 27 декабря 1991 г. № 2124-1 «О средствах массовой информации» подчеркивают, что «лишь при наличии согласия лица возможна публикация сведений о его личной жизни. Согласие за гражданина, являющегося несовершеннолетним, признанного судом
недееспособным или ограниченного в дееспособности, может дать один из его родителей, опекун, попечитель или иной законный представитель. На практике же требование об обязательном получении согласия на публикацию сведений о частной жизни лица не всегда соблюдается, особенно в отношении популярных лиц (спортсменов, артистов, шоуменов и т.д.)...Гарантируемое ч. 1 ст. 23 Конституции РФ право на неприкосновенность частной жизни
распространяется на ту сферу жизни, которая относится к отдельному лицу, касается только этого лица и охватывает охрану тайны всех тех сторон личной жизни лица, оглашение которых лицо по тем или иным причинам считает нежелательным. Право на неприкосновенность частной жизни означает предоставленную человеку и гарантированную государством возможность контролировать информацию о самом себе, препятствовать разглашению сведений личного, интимного характера»[388].
Резолюцией № 428 (1970) Консультативной ассамблеи Совета Европы «Относительно Декларации о средствах массовой информации и правах человека»[389] подчеркивается, что существует область, в которой осуществление права на свободу информации и свободу выражения своего мнения может вступать в противоречие с правом на уважение личной жизни, гарантируемым ст. 8 Конвенции о правах человека. Нельзя допускать, чтобы осуществление первого права наносило ущерб последнему праву.
Этой Резолюцией достаточно полно раскрывается содержание права на уважение личной жизни. Поясняется, что оно представляет «собой главным образом право вести свою жизнь по собственному усмотрению при минимальном постороннем вмешательстве в нее. Оно касается личной, семейной и домашней жизни, физической и духовной неприкосновенности, чести и репутации, необходимости не допускать, чтобы человека представляли в ложном свете, нераскрытая не имеющих отношения к делу и неблагоприятных факторов, несанкционированной публикации частных фотографий, защиты от шпионажа и неоправданных или недопустимых бестактных действий, защиты от неправильного использования материалов личной переписки, защиты от раскрытия информации, предоставленной или полученной индивидом в конфиденциальном порядке. Те лица, которые своими собственными действиями способствовали распространению информации бестактного характера, обжалованному ими позднее, не могут ссылаться на право на уважение личной жизни».
Сложности судебной практики по делам об охране частной жизни гражданина при неправомерном распространении такой информации без его согласия ввиду отсутствия баланса между публичными и частными интересами актуализируют проблему законодательного урегулирования вопроса установления границ частной жизни лица.
Вопрос приватности в глобальном информационном обществе, баланса интересов личности и государства, не нов, однако в условиях информационного пространства будет подниматься вновь и вновь. В этом убеждают и результаты статистических опросов. Так, в одном из опросов россиянам было предложено присоединиться к одной из следующих точек зрения: «одни считают, что государство должно иметь доступ к закрытой личной информации и переписке людей в социальных сетях, по электронной почте. Другие считают, что у государства не должно быть доступа к такой информации»[390]. В результате затруднились ответить на этот вопрос 17 процентов респондентов, 58 процентов убеждены, что у государства не должно быть доступа к закрытой личной информации и переписке, а 25 - что государство должно иметь доступ к закрытой лично информации и переписке (в целях обеспечения безопасности граждан, государства, предотвращения терактов, борьбы с преступностью, борьбы с наркоторговлей и т.д.).
В свою очередь, противники нарушения приватности опасаются нарушения прав человека, вторжения в сферу личной информации, нарушения этики, использования полученной личной информации против человека,
Автор не придерживается позиции целесообразности принятия закона «Об охране частной жизни», однако представляется необходимым законодательно определить понятие информации о частной жизни и критерии отнесения сведений к такой информации с учетом государственных, общественных или иных публичных интересов. За основу должны быть приняты критерии статуса личности (общественного, политического), а также содержательная сторона распространяемой информации, составляющей основу общественного и публичного интереса. Понятие информации о частной жизни лица, в отличие от персональных данных, по нашему мнению, более широко характеризует личность, не направлена на его идентификацию посредством фиксации на материальном носителе, но имеет непосредственное отношение к характеристике конкретного человека вне зависимости от его общественного или профессионального статуса: биографические сведения, убеждения, взгляды, подробности личной жизни и пр.
В этой связи автору диссертации близка позиция И.Л. Петрухина, который призывал «под частной жизнью... понимать сферу семейной жизни,
родственных и дружеских связей, домашнего уклада, интимных и других личных отношений, привязанностей, образ мыслей, увлечения и творчество»[391].
Коснемся еще одной актуальной для современного информационного общества проблемы В начале 2015 года в России появился и получил широкое распространение в 2016 году новый вид мошенничества, развивающийся до этого в других странах, при котором жертв шантажируют интимными переписками, фотографиями, видео... «Описанный вид преступлений, получивший название sextortion, активно начал развиваться три-четыре года назад на Филиппинах.То есть в этой стране находились мошенники, а их жертвами становились жители США и Европы. В 2014-2015 годах в результате операций Интерпола на Филиппинах задержали несколько десятков злоумышленников. В этом году активность злоумышленников наблюдается в Кот-д’Ивуаре и в Марокко»[392].
Остановимся еще на одной проблеме защиты личных данных. Личные данные пользователей, особенно - пользователей социальных сетей - стали привлекательным объектом преступных посягательств, а онлайн-платформы в сетевом сегменте Интернета нередко используются правонарушителями для продажи украденных личных данных. Причем подобные продажи явились причиной появления говорящего термина - «цифровая личность», стоимость которой оценивают сегодня примерно в 20 долларов[393].
Новостные заголовки СМИ пестрят громкими заголовками: «Соцсеть «ВКонтакте» прокомментировала кражу личных данных 100 млн. пользователей» [394] , «Красть, так с музыкой: приложение из Google Play похищало учетные данные пользователей «ВКонтакте» [395] , «Mail.ru прокомментировала кражу миллионов паролей»[396], «Yahoo подтвердила кражу 500 млн учётных записей пользователей»[397] и т.п.
Очередная скандальная история осенью 2016 года коснулась так называемой «базы негодяев»[398]. Оказавшиеся в свободной продаже флеш-карты содержали порядка 42 гигабайт информации о 20 миллионах клиентов и должников банков России с указанием ФИО, адресов, телефонов и мест работы. Среди должников оказались высокопоставленные чиновники, депутаты, воры в законе, ВИЧ-инфицированные (информация о болезни которых является медицинской тайной), сотрудники силовых структур, в том числе ФСБ.
Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)[399].
В числе полномочий Роскомнадзора - давать разъяснения по вопросу применения законодательства о персональных данных.
Так, разъяснения Роскомнадзора «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки» [400] касаются существа обработки фото- и видеоизображения субъекта персональных данных. Данными разъяснениями подчеркнуто, что обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 11 Федерального закона «О персональных данных», предусматривающей исключения, связанные с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.
Отметим положительный опыт создания Роскомнадзором специальных интернет-ресурсов, направленных на формирование правовой культуры - таких, как Портал персональныеданные.дети[401]. В числе задач созданного портала - помочь детям понять важность конфиденциальности личной жизни при использовании цифровых технологий, но также для молодых людей, которые с легкостью и энтузиазмом используют среду Интернет.
В доступной для детей форме специалисты Роскомнадзора разъясняют - что понимается под персональными данными, каковы основные правила общения в Сети - учитывая интересы подрастающего поколения («Как защитить гаджеты от вредоносных программ», «Как общаться в Сети», «Как защитить персональные данные в сети»), предложили вариант тестирования («Что ты знаешь о персональных данных»), игры.
Подобные проекты целесообразно развивать, распространив подобные и на другие аудиторные группы - пенсионеров, студентов и др.
3.4.