Особенности формирования российского подхода к правовому регулированию персональных данных

В российском праве долгое время вопрос о правовом регулировании персональных данных оставался открытым, прежде всего в плане принятия специального закона в этой области. При этом невозможно говорить о том, что отдельные аспекты, связанные с обработкой персональных данных, не были урегулированы.

На конституционном уровне следует упомянуть статьи 23 и 24 Конституции РФ 1993 года, устанавливающие право индивида на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых телеграфных и иных сообщений, а также право индивида и на доступ к информации о себе и обязанность государственных органов и органов местного самоуправления обеспечить ему возможность последнего. Вне всякого сомнения, эти статьи, несмотря на то что в них содержатся лишь отдельные аспекты правового регулирования обработки данных о физических лицах, послужили своего рода отправной точкой для дальнейшего формирования законодательства о защите частной жизни при обработке персональных данных.

Впервые термин «персональные данные» (информация о гражданах) был введен в законодательство с принятием Федерального закона «Об информации, информатизации и о защите информации»^[377] в 1995 году, где в статье 2 содержалось уже рассмотренное автором определение их как «сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность». Однако детального регулирования обработки данных в указанном законе, по понятным причинам, не содержалось, но предлагалась его общая концепция, а также содержалась отсылка к специальному законодательству, которое, как, по- видимому, предполагалось, должно быть принято. На основании анализа статьи 9 и 14, принципиально можно было прийти к следующим основным выводам о концептуальных положениях предполагаемого тогда специального закона:

- персональные данные являются информацией ограниченного доступа и относятся к конфиденциальной информации^[378];

- перечень персональных данных должен быть установлен федеральным законом;

- персональные данные напрямую связаны с защитой права на неприкосновенность частной жизни, личную и семейную тайну и права на тайну переписки, телефонных переговоров, телеграфных и иных сообщений;

- сбор, хранение, использование и распространение персональных данных допускается лишь с согласия индивида или по решению суда;

- персональные данные не могут быть использованы для причинения имущественного и морального вреда индивиду;

- персональные данные о расовой, национальной, языковой, религиозной и партийной принадлежности не могут быть использованы для дискриминации (ограничения прав) физических лиц;

- ответственность за нарушения порядка сбора, хранения, использования и распространения персональных данных несут владельцы информационных ресурсов, их содержащих;

- субъект персональных данных (индивид) вправе знакомиться с содержанием персональных данных (иметь доступ к ним), требовать их уточнения, а также вправе знать, кто и в каких целях их использует, за исключением случаев, предусмотренных законом;

- обязанность предоставить возможность ознакомления со своими персональными данными возлагается на владельца информационных ресурсов, отказ которого может быть обжалован в суд.

Основанному на указанных принципах федеральному закону так и не суждено было появиться, а от некоторых из перечисленных выше положений пришлось отказаться. В частности, были подвергнуты критике: ориентированность закона в первую очередь на граждан; установление в качестве основного критерия для выделения персональных данных лишь «идентификации»; стремление установить закрытый перечень категорий информации, относимой к персональным данным, что уже было подробно рассмотрено автором в первой главе работы.

За период с 1995 по 1998 год было подготовлено 12 редакций законопроекта, в которых осуществлялся учет замечаний и предложений рецензентов. Проект дважды обсуждался на секции Научно-технического совета Комитета при Президенте РФ по политике информатизации. Дважды проект прошел международную экспертизу специалистами Совета Европы. Обсуждался проект также на общественных слушаниях в Парламентском центре Федерального собрания РФ, в российско-американском пресс-центре с участием представителей средств массовой информации, на семинаре по проблемам информационной безопасности в рамках Международного конгресса «Народы Содружества Независимых Г осударств накануне третьего тысячелетия» в Санкт-Петербурге, на «круглом столе», проводимом отделением «Информатика и право» Международной академии информатизации, и др.^[379]

Окончательным итогом этой работы стало появление проекта федерального закона «Об информации персонального характера», внесенного для рассмотрения в Государственную думу 3 апреля 1998 года группой депутатов - О.А. Финько, Ю.М. Нестеровым, Г.К. Волковым, Р.Г. Габидуллиным, В.Е. Цоем¹, но так и не был принят. Проект закона был разработан на основе и в соответствии с нормами Директивы 95/46/ЕС Европейского парламента и Совета Европы. Он содержал шесть глав (общие положения; условия законности работы с персональными данными; права субъекта персональных данных; права и обязанности держателя (обладателя) по работе с массивами персональных данных; государственное регулирование работы с персональными данными; Уполномоченный по правам субъектов персональных данных при Президенте РФ), тридцать шесть статей.

Само название выбивалось уже тогда из общепринятой терминологии, поскольку уже названный закон «Об информации, информатизации и защите информации» содержал в качестве базового термина «персональные данные», который также был использован Указом Президента РФ № 188 «Об

утверждении перечня сведений конфиденциального характера» . В итоге в основу законопроекта был положен механизм обработки персональных данных, соответствующий общепринятым европейским принципам и нормам

-э

в области защиты персональных данных .

Одной из особенностей законопроекта была попытка предложить перечень случаев законного сбора, обработки и использования персональных данных, который диктовался, по мнению авторов, необходимостью обеспечить эффективную защиту прав личности в отношении его персональных данных. Персональные данные, получаемые в результате деятельности субъектов федерального закона «Об оперативно-розыскной деятельности», на основании статьи 10 были выделены фактически в особую ^[380] ^{^[381] ^[382] категорию наряду с традиционно выделяемой категорией «чувствительных данных». Но все же важнейшей новеллой законопроекта стала попытка введения института Уполномоченного по правам субъектов персональных данных. Для обеспечения действенности этого правового института предполагалось гарантировать независимость его деятельности. В законопроекте избран путь формирования названного института при Президенте РФ¹.}

В целом данный законопроект был вполне доброжелательно встречен и в научных кругах, в частности за его принятие высказывались О.Б. Просветова и В.Н. Лопатин , хотя при условии определенной доработки в дальнейшем. Несмотря на очевидную актуальность законопроекта в целях защиты прав и свобод граждан, законопроект фактически лег «на полку», поскольку процесс рассмотрения в Федеральном собрании фактически остановился его обсуждением на Совете Государственной думы^[383] ^{^[384] ^[385] ^[386], который впоследствии принял окончательное решение о его снятии уже только после того, как началась работа над новым проектом специального закона в 2006 году^[387], отложив тем самым принятие законодательных мер в рассматриваемой области еще на 6 лет.}

Стоит отметить, что примерно в этот период параллельно Межпарламентской ассамблеей государств-участников СНГ принимается модельный закон «О персональных данных», разработчиками которого стали В.Н. Лопатин и А.В. Федоров^[388], существенным образом похожий отдельными положениями и общей концепцией на уже упомянутый законопроект «Об информации персонального характера». Впрочем, его принятие никоим образом не ускорило принятие российского закона.

Существенные изменения в отношении к рассматриваемой проблематике со стороны российского законодателя произошли, пожалуй, после активизации отношений между Россией, Советом Европы и Европейским союзом. Первым шагом к этому стало подписание 7 ноября 2001 года Российской Федерацией уже не раз упоминавшейся здесь Конвенции Совета Европы № 108 о защите личности в связи с автоматизированной обработкой данных¹. Примечательно, что ее

ратификация, которая потребовала от России имплементации и принятия специального закона о защите персональных данных, состоялась лишь спустя 5 лет. Проект нового федерального закона «О персональных данных» уже рассматривался практически параллельно с проектом закона о ратификации названной Конвенции Совета Европы^[389] ^{^[390] ^[391].}

Новый проект закона о персональных данных был подготовлен Правительством РФ и в сентябре 2005 года поступил в Государственную думу . Первоначально в нем содержался ряд положений, которые вызвали множество критики, в первую очередь со стороны правозащитников. Это касалось положений статьи 24 варианта законопроекта по итогам первого чтения. В ней, в частности, предлагалась к созданию единая база персональных данных о населении России - «Государственный регистр населения Российской Федерации», куда подлежали занесению идентификаторы персональных данных всех физических лиц, постоянно или временно проживающих или пребывающих на территории России. В качестве «идентификаторов персональных данных» при анализе статьи 23

того же варианта законопроекта подразумевались различного рода персональные номера, которые используются в информационных системах государственными и местными органами для удобства обработки данных о физических лицах.

Такими идентификаторами, безусловно, являются индивидуальный номер налогоплательщика (ИНН), предусмотренный ст. 84 Налогового кодекса РФ¹, и страховой номер индивидуального лицевого счета в системе обязательного пенсионного страхования в соответствии со ст. 7 ч. 1 федерального закона «Об обязательном (персонифицированном) учете в системе обязательного пенсионного страхования»^[392] ^{^[393] ^[394], номер полиса обязательного медицинского страхования. Создание такого «Государственного регистра населения РФ» правительство объясняло необходимостью их уточнения, отмечая, что в нем будут содержаться лишь общедоступные персональные данные, а также персональные идентификаторы, например ИНН, которые с точки зрения закона не являются
-э
информацией ограниченного доступа . Однако отстоять целесообразность существования такой единой базы данных правительству не удалось. Уже на стадии обсуждения в комитетах Государственной думы против этого были выдвинуты, в качестве серьезных, следующие аргументы: во-первых, оператор потенциально получал в таком случае доступ к информации, превышающий его полномочия; во-вторых, учитывая сложности с охраной конфиденциальной информации в России в целом, существование подобного регистра создало бы серьезную угрозу несанкционированного доступа к самым разнообразным сведениям о субъекте; в-третьих, появление регистра могло вызвать серьезное недоверие со стороны населения и повысить социальную напряженность. Таким образом, предлагаемая концепция государственного регистра населения представлялась создающей условия для необоснованного ограничения и прямого нарушения прав граждан, что противоречит целому ряду положений Конституции Российской Федерации (статья 23, части 1 и 2; статья 24, часть 1; статья 55, части 2 и 3), что и послужило ее изъятию из текста законопроекта после второго чтения.
В дальнейшем сколь-нибудь серьезные изменения в документ не вносились, и законопроект успешно прошел все стадии и был опубликован 29 июля в «Российской газете»^[395], став федеральным законом.
Оценивая текст законопроекта в целом, следует отметить его явную близость «европейской традиции», поскольку многие его правовые конструкции явным образом ориентированы на Конвенцию № 108 Совета Европы и с Директивой 95/46/СЕ. Причем начальные положения по своей конструкции и содержанию столь очевидно напоминают положения последней, что не могут не вызывать ассоциации об аналогии. В таком положении дел не стоит усматривать чего-то негативного, скорее наоборот, многими российскими авторами, уже неоднократно упомянутыми в работе, именно «европейская модель» правового регулирования оборота персональных данных рассматривалась в качестве основы для разработки закона. К тому же предшествующий законопроект «Об информации персонального характера» также был ориентирован на законодательную практику стран Европейского союза. Проводя аналогии к, безусловно, сильным сторонам принятого федерального закона «О персональных данных» можно отнести проработанность правовых конструкций, в части описания собственно правового режима обработки персональных данных, как информации персонального характера, в плане определения принципов и условий обработки, прав субъектов персональных данных, обязанностей обладателя и оператора систем персональных данных. Однако явным минусом, безусловно, явился отказ от института независимого уполномоченного органа по защите прав субъектов персональных данных - Уполномоченного по правам субъекта данных.
Законодательная деятельность в области правового регулирования персональных данных, разумеется, не сосредоточилась только на принятии специального закона. В период с 1995 года по настоящий момент был принят целый ряд законодательных положений отраслевого характера, которые регулировали обработку баз персональных данных в конкретных областях общественной деятельности и для которых новый закон стал своего рода связующим звеном. Такие положения, упоминающие о базах персональных данных, содержатся: в Трудовом кодексе^[396], в главе 14 «Защита персональных
Л
данных работника»; в ст. 84 Налогового кодекса РФ ; в ст. 85.1 Воздушного
-э
кодекса РФ ; в федеральных законах: «Об индивидуальном
(персонифицированном) учете в системе обязательного пенсионного страхования»⁴, «О банках и банковской деятельности»⁵, «О связи»⁶, «О правовом положении иностранных граждан в РФ» , «О государственной
о
автоматизированной системе ГАС «Выборы» , «О государственном банке о детях оставшихся без попечения родителей»⁹, «Об актах гражданского состояния»¹⁰, «Об обязательном страховании гражданской ответственности владельцев транспортных средств»^[397], «О воинской обязанности и военной службе» , «О системе государственной гражданской службы РФ» и многих других.
За последние несколько лет можно говорить и том, что концепция «защиты персональных данных», т.е. защиты личности в условиях бурного развития информационных технологий, также меняется и развивается, о чем свидетельствуют многочисленные и достаточно существенные изменения в законодательстве о персональных данных как в России, так и в мире.
В частности, российский закон о персональных данных претерпел за последние 10 лет значительные изменения. Даже простое арифметическое сравнение объема и содержания закона на момент его принятия (примерно 5500 слов и 41000 знаков) и действующей редакции (примерно 9900 слов и 72000 знаков) говорит о том, что закон «потяжелел» почти вдвое. Если первые 5 лет текст закона практически не менялся, в том числе и благодаря тому, что его вступление в силу откладывалось, сначала в декабре 2010 года¹,
Л
а затем в какой-то степени в июле 2011 года . Во многом это объяснялось «неготовностью» экономики, т.е. операторов персональных данных к реализации требований нового на тот момент законодательства, отдельные положения которого в то время не раз подвергались резкой критике со стороны бизнес-сообщества и научной общественности. Многие из этих
-э
проблем были предметом обсуждений в ходе Парламентских слушаний Комитета по безопасности Государственной думы РФ еще в октябре 2009 года.
Результатом этой работы стала первая существенная переработка положений закона о персональных данных в июле 2011 года, когда серьезным образом были переработаны более 10 статей закона и появились еще две новые (ст. 18.1 и 22.1)^[398] ^{^[399] ^[400] ^[401]. В наибольшей степени эти изменения коснулись самого механизма закона в части установления обязанностей оператора по обеспечению защиты персональных данных от любых неправомерных действий с ними, и прежде всего - в части принятия правовых, организационных и технических мер по защите информации (персональных данных). Указанные положения в совокупности с рядом уже упомянутых в работе подзаконных актов внесли ощутимую ясность в определение режимных требований к операторам при обеспечении конфиденциальности персональных данных.}
В дальнейшем целый ряд изменений закона о персональных данных был связан с его фактической «подстройкой» под существующие реалии при обработке персональных данных в государственных органах и публичных целях. Как оказалось, законодательство о персональных данных было принято без учета существующей практики и особенностей обработки персональных данных сразу в нескольких сферах, таких как: жилищнокоммунальное хозяйство¹, деятельность органов прокуратуры^[402] ^{^[403],}
потребительское кредитование^[404], при решении вопросов о гражданстве^[405].
Среди последних и наиболее обсуждаемых изменений в
законодательстве о персональных данных можно назвать:
- изменения в ст. 18 закона, устанавливающие правило о локализации на территории РФ хранения и отдельных процессов обработки персональных данных о гражданах РФ^[406];
- принятие законодательных положений о «праве на забвение», т.е. устанавливающих право индивида требовать удаления
несоответствующей действительности информации о нем из результатов поиска в сети Интернет¹;
- принятие новой редакции статьи 13.11 КоАП РФ, предусматривающей усиление административной ответственности в области нарушения законодательства о персональных данных, как в части увеличения размера штрафа, так и в части увеличения составов правонарушений^[407] ^{^[408] ^[409].}
Все эти многочисленные изменения демонстрируют дальнейшее развитие идеи защиты персональных данных и были приняты в ответ на текущие угрозы правам и законным интересам физических лиц при обработке персональных данных. В частности, требование локализации баз персональных данных о гражданах РФ и отдельных процессов их обработки было вызвано очевидным стремлением обеспечить защиту данных в условиях, когда с учетом существующих бизнес-моделей компаний, активно предлагающих услуги в сети Интернет, в том числе с помощью облачных сервисов, невозможно однозначно определить, где же в итоге осуществляется обработка данных и под юрисдикцией какого государства? И, что немаловажно, гарантирует ли последнее должный уровень защиты персональных данных?
Во втором случае проблема еще интереснее и глубже. Впервые о праве
-э
на забвение было заявлено в деле Google Spain в 2014 году. Итогом его рассмотрения стало появление новой нормы, предусматривающей для индивида возможность требовать удаления из результатов поиска поисковой системы Google ссылки на информацию, которую он считает устаревшей или неактуальной. Такое требование Европейский суд ЕС обосновал в положениях Директивы № 95/46/ЕС, признав фактически поисковую систему оператором персональных данных и, как следствие, право лица требовать прекращения обработки персональных данных.
Российское законодательство, несмотря на порой резкую критику со стороны интернет-сообщества¹ и некоторых ученых^[410] ^{^[411] ^[412], на удивление быстро приняла аналогичные положения, которые вступили в силу с 1 января 2016 года. В 2016 году одна из крупнейших российских интернет-компаний «Яндекс» опубликовала первые результаты применения «закона о праве на забвение», заявив, что только в начале 2016 года поисковая система получила}
-э
более 3600 обращений, удовлетворив только 27% из них . Компания Google, которая уже давно принимает аналогичные обращения, по состоянию на 2017 год получила уже более 730000 запросов об удалении информации из поиска, дав положительный ответ более чем в 40 случаях^[413]. В целом полемика о природе и сущности «права на забвение», его влиянии на развитие Интернета, на обеспечение баланса между правом на уважение частной жизни и свободой выражения мнений еще далека от завершения, о чем свидетельствуют периодически появляющиеся публикации на эту тему^[414].
Более того, соответствующие положения о «праве на забвение» были включены в абсолютно новый документ - General Data Protection Regulation (Общие правила регулирования защиты данных; далее - Общие правила)^[415], который в самое ближайшее время должен прийти на смену Директиве № 95/46/ЕС.
Появление последних можно назвать одной из самых серьезных и глобальных реформ европейской системы защиты персональных данных с 1995 года. Указанные Общие правила стали итогом длительной подготовки и согласования текста нового «систематизирующего» закона о персональных данных ЕС со странами-участниками. Сам их текст был подготовлен еще в 2011 году и окончательно был принят лишь в апреле 2016 года. В настоящее время идет так называемый переходный период для адаптации и гармонизации текстов национальных законов о персональных данных с окончанием 25 мая 2018 года, когда Общие правила должны вступить в силу.
Причины принятия Общих правил были объяснены и подробно изложены в пояснительной записке^[416], предваряющей текст нормативного акта, среди них были названы две основные:
- общее развитие информационного общества, с которым связано
появление новых угроз правам индивида при обработке данных;
- «фрагментарность» национального законодательства о персональных
данных в странах-участницах ЕС.
Среди наиболее существенных изменений, предлагаемых Общими правилами в сравнении с положениями Директивы 95/46/ЕС, можно назвать:
1) совершенствование понятийного аппарата и появление новых терминов;
2) введение новых принципов при обработке персональных данных - принципа прозрачности и принципа комплексной и адекватной ответственности оператора данных;
3) закрепление права на забвение и права требования прекращения обработки и удаления данных;
4) обязательное назначение ответственных лиц за обработку персональных данных для публичного сектора и крупного бизнеса и т.д.
В дополнение к Общим правилам реформа европейской модели защиты персональных данных затронула и сферу правоохранительной деятельности. В общем пакете изменений вместе с Правилами была принята специальная директива, регулирующая вопросы обработки персональных данных органами, компетентными проводить уголовное преследование и расследование, а также осуществлять исполнение уголовных наказаний^[417]. Само появление этого документа в некоторой степени является само по себе «новинкой», учитывая, что ранее Директива 95/46/ЕС не распространяла действие своего механизма о защите данных на такой случай, называя его в числе исключений. Теперь же, наоборот, страны Европы получат единый документ, регламентирующий основные положения об обработке данных правоохранительными органами. Сам предлагаемый механизм и его ключевые принципы очень схож с положениями Директивы 95/46/ЕС и Общих правил, но в несколько усеченном виде и скорее направлен на то, чтобы гарантировать соблюдение принципа законности при обработке персональных данных. Среди интересных «новинок» стоит отметить желание разделить персональные данные, обрабатываемые правоохранительными органами, на ряд категорий, исходя из особенностей субъекта, к которому они относятся. В частности, новые положения предписывают национальным правоохранительным органам и странам-участницам делать различие между персональными данными подозреваемых, потерпевших (жертв), обвиняемых и иных участников уголовного процесса, что не лишено смысла и требует дальнейшего изучения и осмысления.
Если говорить о развитии и совершенствовании национального законодательства и практики в области защиты персональных данных в странах Европы, то можно отметить общую тенденцию на активное привлечение к разработке отраслевых норм о защите персональных данных саморегулирующих организаций и объединений предпринимателей для конкретных секторов экономики. Примером этого может служить информация, размещенная на сайте Информационного комиссара Великобритании¹, где приведены подробные инструкции и руководства по организации системы защиты персональных данных в различных секторах экономики, чтобы организация могла грамотно и правильно организовать свои бизнес-процессы в соответствии с европейскими и национальными нормами о защите данных. Аналогичные разделы сайта и направления деятельности есть у многих уполномоченных органов по защите прав субъектов персональных данных в европейских странах: Комиссия по защите частной жизни Бельгии^[418] ^{^[419], Национальная комиссия по информатике и свободам во Франции^[420], Комиссар по защите данных в Ирландии^[421], Национальный комиссар по защите данных Португалии^[422] и т.д.}
Существенным отличием в текущей деятельности, деятельности по защите прав субъектов персональных данных и деятельности по контролю и надзору за соблюдением законодательства о персональных данных у этих органов как раз считается взаимодействие с операторами и субъектами персональных данных по предоставлению консультаций о применении законодательства о персональных данных. Примером может служить достаточно свежая статистика Национальной комиссии по информатике и свободам, где ключевым показателем является не количество проверок, или количество составленных протоколов и поступлений в бюджет государства, что характерно для ее российского аналога^[423], а в большей степени количество консультаций, оказанных гражданам и организациям, количество выданных разрешений и количество заключений на проекты нормативных актов различного уровня¹.
Еще одним крайне интересным направлением деятельности Национальной комиссии по информатике и свободам является организация добровольной аккредитации бизнес-процессов компаний-операторов с точки зрения их соответствия законодательству о персональных данных и выдача
Л
им особого знака соответствия (Label CNIL) , что повышает степень доверия к ней со стороны потребителей услуг и проверяющего органа. Так в
-э
частности за 2016 год Комиссией было выдано 92 таких знака соответствия , которые могут быть использованы компаниями при предоставлении своих услуг и размещаться на их сайтах. Помимо возможности получить такой знак соответствия заинтересованные организации, а чаще всего их объединения, могут обратить в Комиссию для получения одобрения своих внутренних корпоративных правил обработки персональных данных^[424] ^{^[425] ^[426] ^[427]. Такая процедура обеспечивает большую прозрачность деятельности ассоциаций предпринимателей и их участников для органа контроля и надзора и позволяет им привести свои бизнес-процессы в соответствие с законодательством о персональных данных.}
Безусловно, это далеко не все происходящие изменения в зарубежном законодательстве и практике, но с учетом российского опыта они были бы, на взгляд автора, наиболее полезными и актуальными для дальнейшего изучения и возможной адаптации к российским реалиям.}

<< | >>

↑

Источник: Бундин Михаил Вячеславович. ПЕРСОНАЛЬНЫЕ ДАННЫЕ В СИСТЕМЕ ИНФОРМАЦИИ ОГРАНИЧЕННОГО ДОСТУПА. ДИССЕРТАЦИЯ на соискание ученой степени кандидата юридических наук. Москва - 2017. 2017

Еще по теме Особенности формирования российского подхода к правовому регулированию персональных данных:

- Информационное право России - Інфомаційне право України -