Правовое регулирование отношений по охране персональных данных в международном и иностранном праве
Персональные данные стали объектом нормативно-правовой регламентации сравнительно недавно. Несмотря на это, в мировой нормативно-правовой практике накопилось достаточно много актов, с помощью которых осуществляется правовое регулирование вопросов, связанных с обеспечением безопасности персональных данных.
История создания правовых норм и законодательства о персональных данных свидетельствует о стремительном развитии этих норм, об их появлении, изменении и обновлении, появлении новых принципов в правовом регулировании.
Поскольку ни одно современное государство не может обойтись без международного сотрудничества в области защиты и охраны наиболее важных общественных отношений, а также, поскольку государства стремятся к глобализации, этим объясняется значительная роль международного права и его общепризнанных принципов и норм. Как указывается в правовой доктрине, «современное международное право является общим для всех государств в том смысле, что именно общепризнанные принципы и нормы характеризуют его основное содержание, его социальную и общечеловеческую ценность»[119].
В связи с вышеизложенным, довольно часто неурегулированность тех или иных общественных отношений в национальной правовой системе восполняется за счёт появления общепризнанных принципов и норм международного права, а также международных договоров об охране наиболее важных общественных отношений, имеющих всеобщее значение. Так, государство, подписывая и ратифицируя международный договор, берёт на себя обязательство обеспечить применение таких норм внутри своей
территории. Данный тезис вполне справедлив и в отношении норм, посвящённых правовой охране персональных данных.
В России нормативное регулирование отношений, связанных с персональными данными, в Советский период развития законодательства отсутствовало. Возможно, это было связано с отсутствием необходимости во всестороннем обеспечении прав и свобод человека и гражданина.
Это связано также с отсутствием стремительного развития информационных правоотношений и информационных технологий в целом. Именно поэтому мы видим необходимость в рассмотрении, в первую очередь, международных актов, положивших основу для возникновения в российском праве норм об охране персональных данных.В международном праве отношения, связанные с обращением персональных данных и обеспечением их безопасности, регулируются достаточно давно. Актуальность и своевременность принятия нормативных правовых актов, регулирующих отношения в области защиты персональных данных, подтверждается зарубежным опытом[120].
Общепризнанные принципы и нормы международного права и международные договоры начали формироваться в послевоенный период, как и международные организации, их аккумулирующие.
Первым международно-правовым актом, сформировавшим нормы об охране права на неприкосновенность частной жизни в Европе, была принятая в 1950 году Европейская Конвенция о защите прав человека и основных свобод, которая закрепила в статье 8 право на уважение частной и семейной жизни. В ней, в частности, указывается, что каждый имеет право на уважение его личной и семейной жизни, его жилища и его корреспонденции. Не допускается вмешательство со стороны публичных властей в осуществление этого права, за исключением случая, когда такое вмешательство предусмотрено законом и необходимо в демократическом обществе в интересах национальной безопасности и общественного порядка, экономического благосостояния страны, в целях предотвращения беспорядков или преступлений, для охраны здоровья и нравственности или защиты прав и свобод других лиц[121]. Содержание указанного права на уважение личной и семейной тайны, по существу, предопределяется и правом на обеспечение безопасности и конфиденциальности персональных данных каждого в специально предусмотренных случаях.
Копылов В.А. Информационное право. М.: Юристъ, 2009. С. 392.
Европейский суд по правам человека во многих своих решениях вполне чётко отвечает на вопрос о связи между правом на уважение личной и семейной тайны и правом на неприкосновенность персональной информации.
Именно поэтому, на наш взгляд, Европейскую конвенцию о защите прав человека и основных свобод можно рассматривать как один из международных договоров, непосредственно регулирующих отношения в сфере обеспечения безопасности персональных данных.Так, в деле Гаскин против Соединённого Королевства (Gaskin v. the United Kingdom) Европейский суд по правам человека в Постановлении от 07.07.1989 (§ 37, Серия А, №160) утверждает, что конфиденциальность общественных архивов, которые содержат персональную информацию о физических лицах, имеет важное значение для получения объективной и достоверной информации, и что такая конфиденциальность может быть также необходима для защиты третьих лиц. Заявитель хотел начать разбирательство против местных властей в связи с тем, что, как он утверждал, когда он был ребенком, с ним плохо обращались в приёмной семье. Он попытался получить доступ к своему делу, которое имелось у местных властей. Власти решили, что информация в деле заявителя должна быть ему предоставлена только в том случае, если иные лица, которые предоставили информацию для этого дела, дадут своё согласие на раскрытие информации. Он пожаловался на то, что отсутствие непосредственного доступа к документам нарушило его право на уважение частной жизни.
Европейский суд усмотрел в действиях Правительства нарушение статьи 8 Европейской конвенции, которая предусматривает, что каждый имеет право на уважение частной и семейной жизни. Суд указал в Постановлении, что заявителю было отказано в доступе к информации, касающейся того периода его детства, когда он находился под опекой государства. Между тем, эта информация является важной для частной жизни заявителя и именно поэтому должна была быть ему предоставлена Правительством Соединённого Королевства. Система, которая ставит возможность доступа к документам в зависимость от согласия лиц, предоставивших информацию, может в принципе рассматриваться как соответствующая обязательствам по ст. 8, учитывая свободу усмотрения государства.
При такой системе интересы индивида, стремящегося получить доступ к документам, относящимся к его личной или семейной жизни, должны быть обеспечены, когда предоставившие информацию лица отсутствуют или безосновательно отказываются дать своё согласие. Такая система будет соответствовать принципу пропорциональности только в том случае, если она обеспечивает то, чтобы независимый орган мог принять окончательное решение о том, должен ли быть предоставлен доступ в случаях, когда предоставившие информацию лица не отвечают на запрос или отказываются дать свое согласие. В настоящем деле заявитель не мог воспользоваться подобной процедурой[122]. Вполне очевидно, что в данном деле необходимо было исходить из принципа разумности, поскольку ни одно физическое лицо в мире не может не обладать конфиденциальной информацией о самом себе. В противном случае, необходимость обеспечения конфиденциальности персональных сведений утрачивает всякий смысл.В другом деле - Аманн против Швейцарии (Amann v. Switzerland) - заявителю, занимавшемуся продажей приборов для эпиляции, поступил телефонный звонок из бывшего советского посольства с заказом на прибор.
124
Прокуратура перехватила звонок и попросила службу разведки собрать информацию о заявителе. В данном деле Европейский суд усмотрел нарушение статьи 8 Европейской конвенции, указав, что запись телефонного разговора, а также сбор и хранение информации нарушили право человека на уважение частной жизни, поскольку внутренним законодательством государства-ответчика не были чётко установлены полномочия властей в этой сфере[123].
В деле S. И Марпер против Соединённого Королевства (S. and Marper V. The EΓnited Kingdom) заявители были взяты под стражу, а затем им было предъявлено обвинение в совершении преступлений. У них были отобраны следы пальцев рук и образцы ДНК. Все их ходатайства были отклонены, так как в соответствии с законодательством государства-ответчика эти данные о заявителях могли храниться бессрочно.
В указанном деле Европейский суд подчеркнул, что закон не устанавливал условия и порядок хранения следов пальцев рук и образцов ДНК, более того, он не предоставлял гарантий, исключающих их неправомерное или нецелевое использование, а также не давал возможности принимать в расчёт индивидуальные обстоятельства каждого конкретного дела. Суд указал в Постановлении (п. 68), что все три категории информации, представленные в указанном деле, имеют статус персональных данных, так как они относятся к установленным лицам. Следовательно, они подлежат особой охране и не могут быть переданы третьим лицам и нарушают право на неприкосновенность частной жизни лица. Поэтому Европейский Суд установил факт нарушения со стороны компетентных органов государства-ответчика положений ст. 8 Европейской Конвенции[124].Таким образом, можно проследить неоспоримую взаимосвязь между правом на уважение (неприкосновенность) частной жизни, личной и
семейной тайны и обеспечением безопасности персональных данных (персональной информации).
Безусловно, специфический характер правоотношений в сфере оборота персональных данных, а также обеспечения их безопасности не мог не породить специального правового регулирования на международном уровне. В связи с этим, впервые унифицированные международные нормы о персональных данных появились с принятием Конвенции Совета Европы о защите личности в связи с автоматической обработкой персональных данных от 28.01.1981 (ETS №108). В преамбуле конвенции указано, что государства исходят из необходимости усиления гарантий прав и основных свобод каждого человека и в особенности права на неприкосновенность его личной сферы, вызванную все возрастающим перемещением через границы персональных данных, обработанных с применением автоматизированных средств. Государства также подтверждают приверженность свободе информации независимо от границ и необходимость уважения неприкосновенности личной сферы и свободного обмена информацией между народами[125].
Этот международно-правовой акт стал одним из первых нормативных документов, закрепляющих необходимость правовой охраны персональных данных как объекта, наибольшим образом подверженного различным посягательствам. Это исторически первый международный договор, по сути, глобального значения, который содержит юридически обязывающие нормы в области защиты персональных данных[126].
Конвенция устанавливает область своего применения в виде автоматизированных баз персональных данных и автоматической обработки персональных данных в публичном и частном секторе. В Конвенции устанавливаются также основные принципы защиты данных, а именно:
получение данных добросовестным и законным способом, их накопление для строго определенных и законных целей, адекватность данных, точность, надлежащая форма.
В Конвенции содержится одно из основных правил: стороны обязуются принимать надлежащие меры для того, чтобы основные принципы защиты данных были реализованы в национальном праве. Это положение является важным ключевым моментом, повлиявшим, на наш взгляд, впоследствии, на появление норм об охране персональных данных в национальных правовых системах государств Совета Европы.
В то же время, поскольку современное международное право базируется на принципе автономии воли и сотрудничества[127], то вполне оправдано, что нормы Конвенции предоставляют каждому государству- участнику возможность отступить от установлений Конвенции, когда такое отклонение, предусмотренное национальным законодательством, составляет необходимую меру в демократическом обществе. Среди таких случаев, в частности, можно выделить следующие:
1. При защите безопасности государства, общественной безопасности, денежного обращения государства или при подавлении уголовных правонарушений.
2. При защите лицом, о котором идет речь, прав и свобод других. Российская Федерация присоединилась к рассматриваемой Конвенции
ещё в 2001 году, однако в течение достаточно длительного периода времени не ратифицировала её. Федеральный закон о ратификации Конвенции 1981 года был подписан в 2005 году. Параллельно Правительством Российской Федерации велась большая работа по имплементации норм Конвенции в российское законодательство. И лишь 15 мая 2013 года Российская Федерация завершила процедуру ратификации Конвенции [128] , передав
ратификационную грамоту на хранение Генеральному секретарю Совета Европы. Конвенция вступила в силу для Российской Федерации с 01 сентября 2013 года.
Принятие Конвенции 1981 года завершило, по существу, процесс внедрения норм международного права о защите персональных данных в российскую правовую систему, значительным образом повлияв на законодательство и нормативные акты в целом.
Российское законодательство об охране персональных данных является, пожалуй, самым «молодым» среди законодательства европейских государств, поскольку вопросы охраны данных личного характера уже давно стали в Европе предметом законодательного регулирования.
Принятие правовых норм об обеспечении безопасности персональных данных во многих странах сопровождалось созданием специальных государственных органов, которые были уполномочены обеспечивать безопасность персональных данных. Государства создали на основе законодательства не зависимые от правительства государственные органы по защите прав субъектов персональных данных во главе с соответствующим омбудсменом - уполномоченным лицом по защите прав. Впервые такой орган был введен в 1919 году в Швеции, за которой последовали и другие страны. Сегодня так называемые «Комиссии по защите данных» или «Data Protection Commission» действую в Австралии, Австрии, Англии, Бельгии, Болгарии, Венгрии, Греции, Италии и т.д.[129]
В 1984 году в Соединённом Королевстве Великобритании был принят «Акт о защите данных» (The Data Protection Act). В соответствии с ним, защите подлежат персональные данные, обрабатываемые с помощью компьютерной техники. Вводятся понятия «персональные данные», «регистратор персональных данных», «трибунал». Среди основополагающих начал правового регулирования обеспечения безопасности персональных данных Акт называет обязательную регистрацию деятельности по обработке персональных данных в специальном регистре (Data Protection Registrar) путём заполнения специальной регистрационной формы. Обязательным считается указание объёма персональных данных, которые подлежат обработке и использованию, а также источники, откуда персональные данные были получены. Кроме того, в регистре в обязательном порядке должна быть отражена информация о том, кому из третьих лиц планируется передавать зарегистрированные персональные данные.
131
Акт также содержит очень важное положение, согласно которому если лицо осуществляет работу с информацией персонального характера и при этом оно не зарегистрировано в Регистре (Registrar), то оно признаётся виновным в нарушении требования обязательной регистрации деятельности по обработке и использованию персональных данных1’2.
Рассматривая законодательство о защите персональных данных в других европейских странах, нельзя не остановиться на нормативноправовом акте Федеративной Республики Германии от 20.12.1990 года «О совершенствовании обработки данных и защите информации», который упорядочивает общественные отношения, возникающие в процессе накопления, переработки и использования персонифицированной информации (персональных данных). Данный нормативно-правовой акт по- другому определяет институт персональных данных, нежели это произведено в Конвенции 1981 года. Закон ФРГ определяет персональные данные как совокупность сведений о частной жизни или общественно-политической активности гражданина, прямо или косвенно относящихся к физическому лицу. Необходимо отметить, что любую информацию, которая позволяет идентифицировать физическое лицо, закон относит к персонифицированной информации[130] [131]. Как и во многих странах мира, контроль и надзор за
соблюдением и исполнением положений данного закона возложен на Федерального уполномоченного по защите персональных данных[132] [133]. Защита персональных данных осуществляется в ФРГ на уровне федерации и на уровне федеральных земель, каждая федеральная земля имеет свой собственный закон «О персональных данных». Но на этом немецкое законодательство об обеспечении безопасности персональных данных не завершается, так как в 1991 году в ФРГ был принят Закон о документации Штази11Э, что было вызвано объединением Германии и вхождением в её состав бывшей Германской Демократической Республики, а также в целях обеспечения безопасности лиц, чьи данные хранились в секретных архивах службы госбезопасности бывшей ГДР[134]. В Королевстве Испания вопросы, связанные с защитой персональных данных, регулируются Основным законом о защите данных (Ley Organica de Proteccion de Datos de Caracter Personal или Organic Law of Data Protection - LOPD)[135]. В дополнение к этому закону в Испании было принято Положение о применении Основного закона о защите данных (Real Decreto Reglamento de Desarrollo de la Ley Organica 15/1999 de Proteccion de Datos de Caracter Personal или Regulation implementing Spanish Organic Law of Data protection)[136]. В соответствии с Основным законом Испании персональные данные определяются как любая информация относительно физических лиц, которые могут быть идентифицированы на её основе. Согласно указанным нормативно-правовым актам любой гражданин Испании вправе возражать против обработки данных, относящихся лично к нему. Кроме того, любой гражданин вправе указать оператору, неправомерно обрабатывающему его данные, на необходимость прекращения такой обработки. В то же время, испанский закон предусматривает, что реализация гражданином такого права возможна до тех пор, пока гражданин не совершит каких-либо незаконных действий или преступлений. При этом, ограничение такого права возможно только в разумных пределах, необходимых для защиты публичных интересов. Во Франции защита персональных данных подвержена законодательному регулированию достаточно давно. С 1978 года во Франции действует Закон «Об обработке данных, файлах данных и индивидуальных свободах» (Loi relative a Γinformatique, aux fιchiers et aux libertes)l l9, который устанавливает не только нормы, регулирующие правоотношения в сфере оборота персональных данных, но и меры ответственности за нарушение установленных правил. Эксперты отмечают, что указанный закон является весьма суровым с позиций установления мер уголовной ответственности за совершение правонарушений, связанных с посягательством на персональные данные. Например, любое нарушение правил сбора и хранения персональных данных оценивается законодателем как наиболее опасное правонарушение в указанных отношениях и наказывается на срок до 5 лет тюремного 140 заключения . В Китайской Народной Республике до недавнего времени нормы об охране персональных данных отсутствовали. Но так было до тех пор, пока не было принято несколько важных нормативных актов, регулирующих вопросы обеспечения прав субъектов персональных данных. В частности, в Решении Постоянного комитета Всекитайского собрания народных представителей «Об усилении охраны Интернет-информации» указывается, что безопасность персональных данных является важной обязанностью государства, а обеспечение такой безопасности возможно только [137] [138] посредством контроля за деятельностью Интернет-пользователей[139]. Кроме того, в связи с расширением экономического сотрудничества с различными государствами мира, а также с распространением так называемой электронной торговли (посредством информационно-телекоммуникационных сетей) 25 октября 2013 года Всекитайским Собранием народных представителей был одобрен проект поправок в Закон КНР «О защите прав потребителей», в котором появились специальные положения об охране персональных данных потребителей. В случае если участник предпринимательской деятельности осуществляет сбор данных потребителей, он обязан указать цель, способы и пределы сбора и использования данных, а также получить согласие потребителя. При осуществлении сбора персональных данных участники предпринимательской деятельности обязаны раскрыть правила сбора и использования данных. Сбор и использование персональных данных потребителей не может осуществляться в нарушение законодательства и соглашения потребителя с участником предпринимательской деятельности. Кроме того, на участника предпринимательской деятельности возлагаются обязанности по сохранению конфиденциальности персональных данных потребителей и не вправе раскрывать, изменять, продавать или передавать персональные данные потребителей другим лицам[140]. Несмотря на то, что указанные положения применяются в Китае только для потребительских правоотношений, по существу, они содержат в себе принципы, которые используются во многих международных соглашениях и договорах, регулирующих отношения, связанные с использованием, обработкой и охраной персональных данных. В Соединённых Штатах Америки на сегодняшний день существует два законодательных акта, которые определяют нормативно-правовое регулирование защиты неприкосновенности частной жизни и персональных данных. Во-первых, это Закон «О защите персональных данных» 1980 г. (Privacy Protection Act)[141], а во-вторых, это Закон «О защите информации при передаче данных по электронному каналу» 1986 г. (Electronic Communications Privacy Act)[142]. Кроме того, существуют ещё несколько актов, регулирующих узкоотраслевые принципы работы с персональными данными. Например, на уровне США, существует Закон о страховании здоровья и возложении ответственности 1996 г. (Health Insurance Portability and Accountability Act)[143], Закон о справедливых и точных кредитных сделках 2003 г. (Fair and Accurate Credit Transaction Act)[144] и Закон о защите детей в сети Интернет (Child Online Privacy Protection Act)[145]. На уровне штатов существует только Закон штата Калифорния о защите частной жизни в сети Интернет (The California Online Privacy Protection Act)[146]. Единый нормативно-правовой акт о защите персональных данных отсутствует. По существу, эти законодательные акты регулируют деятельность государственных органов при обработке персональных данных граждан. Если проанализировать положения указанных актов, то можно прийти к выводу, что они ориентированы на правовое регулирование в узконаправленных сферах жизнедеятельности, вследствие чего не представляется возможным понять общие принципы обработки и передачи персональных данных и реализации правоотношений, связанных с ними. Можно лишь сформулировать, что все эти нормативные акты исходят из того, что любые персональные данные являются неприкосновенными, и их несанкционированный оборот не допускается, за исключением специально оговоренных случаев. Персональные данные определяются, как и во многих международных соглашениях, как сведения, на основе которых их субъект может быть опознан, причём не только на основе традиционной информационной формы, но и посредством информации, получаемой через сеть Интернет. Вмешательство в частную жизнь посредством использования персональных данных запрещено под угрозой применения различных мер юридической ответственности. Однако из данного правила существует исключения, которыми, как показывает международная геополитическая ситуация, США активно пользуются. Например, правило о невмешательстве в частную жизнь не распространяется на случаи нарушения законодательства, в том числе уголовного; в случаях, когда такое вмешательство связано с поддержанием национальной безопасности, обороной государства или обеспечением экономической безопасности государства[147]. Существование различных международных организаций, созданных для определённых целей, вносит вклад в развитие правовых норм в мире. Поэтому такое международное объединение, как Европейский Союз, не является исключением в регулировании вопросов, связанных с защитой персональных данных. Так, Директивой Европейского Союза 95/46/ЕС Европейского парламента и Совета от 24.10.1995 г. «О защите прав частных лиц применительно к обработке личных данных и о свободном движении таких данных» 1э0 установлены многие из ныне действующих принципов охраны персональных данных, которые фактически уже были закреплены в национальных нормах государств-участников Европейского Союза. Среди них можно отметить такие, как: принцип срочности хранения персональных данных, соответствие целям, для которых они собираются и обрабатываются; для персональных данных, сохраняемых более длительные сроки в исторических и иных целях, должны быть установлены необходимые гарантии обеспечения их защиты. Необходимо отметить несколько основополагающих начал данной Директивы - гармонизация положения законодательства государств-членов, имеющих целью обеспечить эквивалентный уровень защиты основных прав и свобод, в частности, права на невмешательство в частную жизнь при использовании персональных данных в секторе телекоммуникаций, и обеспечить свободную передачу таких данных, а также телекоммуникационного оборудования и услуг в рамках сообщества131. Это свидетельствует о том, что в сфере защиты персональных данных поддерживается принцип соблюдения баланса частных и публичных интересов, поскольку поддержание такого баланса, в свою очередь, может обеспечивать правопорядок в правоотношениях, связанных с персональными данными. Принятое в разных государствах законодательство, регулирующее охрану персональных данных, мало изменилось со времени его формирования. Впрочем, для российского законодательства это нехарактерно, поскольку оно подвергалось значительным изменениям. Таким образом, можно прийти к выводу, что принципы регулирования правоотношений в сфере обеспечения безопасности персональных данных, а также охраны права на неприкосновенность частной жизни в законодательстве исследуемых государств во многом совпадают, и это обусловлено глобальным характером проблемы охраны персональных данных, которая наиболее остро возникает в современном мире развития информационных технологий. При этом значительную роль в формировании национального законодательства сыграли общепризнанные принципы и нормы международного права в сфере защиты персональных данных, которые были имплементированы в соответствующие правовые системы. 151 Там же. Ст. 1.