Персональные данные как информация ограниченного доступа


Бундин М.В.,

Информационное право # 1(16)

В статье исследуется правовая основа категории «персональные данные», приводятся пять организационных мер по защите конфиденциальной информации. Предлагается введение в оборот категории «конфиденциальные персональные данные» и уточнение состава субъектов этих правоотношений.

С момента появления персональных данных как категории в российском законодательстве в 1995 г. в Федеральном законе «Об информации, информатизации и защите информации» персональные данные сразу же были отнесены к разряду конфиденциальной информации, т.е. информации ограниченного доступа1. Принятый впоследствии Указ Президента РФ «Об утверждении Перечня сведений конфиденциального характера»2 также содержит их упоминание в качестве конфиденциальной информации. Действующий ныне Федеральный закон «Об информации, информационных технологиях и о защите информации»3 аналогичным образом говорит о персональных данных в статье об ограничении доступа к информации, однако прямо не называет их в качестве конфиденциальной информации или информации ограниченного доступа, указывая лишь на особый порядок доступа к ним, предусмотренный специальным законом. Федеральный закон «О персональных данных» (далее – Закон), что интересно, также не характеризует персональные данные в целом как конфиденциальную информацию, даже более того, наряду с просто определением «персональных данных» содержит определение «общедоступных персональных данных» – термин, который невозможно логически соотнести с информацией ограниченного доступа.

В ст. 4 Закона содержится определение «конфиденциальности персональных данных», которая заключается в их нераспространении, т.е. недопущении действий, направленных на передачу и ознакомление с персональными данными третьими лицами, их опубликование, размещение в отрытом доступе. Соблюдение конфиденциальности не требуется в случае обработки общедоступных персональных данных и в случае их обезличивания, т.е. утраты всякой связи с субъектом, что не позволяет, по-видимому, их в дальнейшем вообще рассматривать в качестве персональных данных. Следовательно, рассматривать персональные данные в целом как информацию ограниченного доступа вряд ли представляется возможным, скорее, было бы правильным ввести в таком случае в оборот категорию «конфиденциальные персональные данные». В итоге из всей массы персональных данных это позволило бы выделить те из них, на которые законодательством распространяется требование соблюдения конфиденциальности. Исключением из правила следует считать случаи, упомянутые в ч. 2 ст. 1 Закона – персональные данные, составляющие государственную тайну, хранящиеся в архивах, находящиеся в едином реестре индивидуальных предпринимателей и юридических лиц, обрабатываемые исключительно для бытовых нужд. На часть из них будет распространяться другой режим ограничения доступа – режим государственной тайны. В отношении двух других случаев будут действовать совершенно другие правовые режимы, в рамках которых говорить об ограничении доступа к персональным данным в полной мере невозможно. Законодательство об архивном деле предусматривает общий запрет на доступ к информации о частной жизни лица, его личной и семейной тайне, о чем можно судить на основании п. 3 ст. 25 Федерального закона «Об архивном деле в РФ»4, учитывая, что ни того, ни другого определения законодательно не существует. Сведения единых государственных реестров юридических лиц и индивидуальных предпринимателей являются на основании закона общедоступными, за исключением паспортных данных физических лиц (но не в случае индивидуальных предпринимателей) и информации о банковских счетах юридических лиц, индивидуальных предпринимателей5. Последний упомянутый случай исключения из правового режима конфиденциальности персональных данных, когда речь идет об их обработке для личных бытовых нужд, следует рассматривать как достаточно спорный. Вероятно, в таком случае сложно вести речь о конфиденциальности таких персональных данных в полной мере, но можно говорить о существовании общего требования об уважении прав и свобод субъекта персональных данных, в первую очередь права на уважение частной жизни, личную и семейную тайну, при их обработке, установленного Конституцией РФ в ст. 23 и 24.

Возвращаясь, собственно, к режиму конфиденциальности персональных данных, установленному Законом, следует сказать, что его суть, по аналогии с другими видами информации ограниченного доступа, должна заключаться в установлении особого порядка доступа к ним, их использования и распространения. Но в Законе (ст. 1 9) закреплено лишь крайне общее требование – предпринять организационные и технические меры по охране от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Технические меры, которые обязан предпринять оператор, можно считать достаточно определенными, поскольку действуют аналогичные нормативные положения, связанные с защитой иных видов конфиденциальной информации. Такая деятельность по защите конфиденциальной информации осуществляется путем лицензирования и сертификации средств защиты информации Федеральной службой по техническому и экспортному контролю, на основании соответствующих положений6. Но вот что касается организационных мер, то здесь совершенно отсутствуют какие-либо четкие указания на этот счет. По аналогии с другими категориями информации ограниченного доступа, такими, как государственная тайна7, коммерческая тайна8, служебная тайна (в том числе на основании находящегося на стадии рассмотрения в Государственной Думе РФ проекта Федерального закона «О служебной тайне»9), к таким действиям логически следовало бы отнести:

1. Установление перечня персональных данных.
2. Установление круга субъектов, имеющих доступ к персональным данным.
3. Использование специального грифа и реквизитов, позволяющих в дальнейшем идентифицировать информацию как конфиденциальную, – «Конфиденциально».
4. Учет (регистрация) лиц, фактически получивших доступ к персональным данным.
5. Урегулирование отношений по охране конфиденциальности информации работниками и другими лицами на основании трудовых и гражданско-правовых договоров.

Во всех перечисленных случаях такие действия должны предприниматься своевременно (заблаговременно), и режим конфиденциальности/ секретности будет установлен в отношении информации, исключительно после принятия всех перечисленных мер. В отношении же персональных данных законодатель от такой четкой регламентации действий оператора по неясным причинам отказался. В частности, сформировать перечень персональных данных, обработка которых осуществляется конкретным оператором, представляется вполне возможным. Закон в ст. 5 указывает на то, что персональные данные не должны быть избыточными и превышать объем, необходимый для достижения заранее заявленных целей, а значит, их конкретный перечень можно и нужно сформировать заблаговременно. То же касается персональных данных, обработка которых разрешена на основании закона (персональные данные работников) или содержащихся в договорах между субъектом персональных данных и оператором (обработка персональных данных клиентов, потребителей, абонентов и т.д.). Хоть их обработка не требует соответствующего уведомления органа по защите прав субъектов персональных данных или согласия последнего их также необходимо было бы включить в рассматриваемый перечень. Использование специального грифа также дало бы возможность четкого обозначения той информации, на которую распространяется режим конфиденциальности персональных данных, установленный Законом.

Отдельно стоит рассмотреть проблему охраны конфиденциальности персональных данных в рамках трудовых отношений. По аналогии с другими видами конфиденциальной информации, такие положения необходимо включать в трудовые договоры с работниками, имеющими доступ к конфиденциальным персональным данным. То же касается предупреждения работников о возможной ответственности за передачу, распространение персональных данных, обязанность работников при увольнении передать все носители и другие материальные объекты, содержащие персональные данные, работодателю, обязанность работника сохранять конфиденциальность персональных данных ставших ему известными при исполнении трудовой функции, после расторжения трудового договора и т.д. К сожалению, Закон не содержит ни одного из указанных положений и, более того, в принципе не выделяет работника, т.е. физическое лицо, которое непосредственно при исполнении своих трудовых обязанностей осуществляет эксплуатацию информационной системы, базы/ банка персональных данных и имеет к ним прямой доступ.

Аналогичная ситуация сложилась в вопросе доступа к информационным системам, базам/банкам персональных данных третьих лиц на основании гражданско-правовых договоров, в частности договоров/ о технической поддержке, направленных на обеспечение бесперебойного функционирования информационных систем, баз/банков персональных данных, и других подобных случаях.

Учет данных рекомендаций позволил бы разрешить множество вопросов, связанных с привлечением к юридической ответственности виновных лиц, и в большей степени ее дифференцировать. Поскольку, по аналогии с другими видами конфиденциальной информации, чаще всего субъектом ответственности является специальный субъект, т.е. лицо, имеющее допуск/ доступ к ней на законном основании и принявшее в добровольном порядке на себя обязательства по сохранению конфиденциальности.

Отметим еще один существенный аспект, связанный с охраной конфиденциальности персональных данных. Основным «конфидентом» в отношении персональных данных, на основании Закона следует считать «оператора», а в некоторых случаях третьих лиц, которые получили к ним доступ. При этом сам субъект персональных данных, являясь одним из участников отношений по охране их конфиденциальности, такой обязанности по закону не несет. Более того, он обладает рядом «эксклюзивных прав» – правом доступа к своим персональным данным, включая право требовать их уточнения, а также, что самое главное, вправе в любой момент снять режим конфиденциальности – согласиться на их общедоступность, сообщить их или передать их третьим лицам, другим операторам, и в целом распорядиться ими по своему усмотрению. Однако оператор, как конфидент, предположительно, обязан сохранять иногда конфиденциальность персональных данных, ставших фактически общеизвестными. К примеру, если они стали таковыми без согласия субъекта в результате противоправных действий, предположим, путем публикации в СМИ. В таких случаях требовать дальнейшего сохранения конфиденциальности информации в большинстве случаев было бы просто нелогично, поскольку эта информации стала общедоступной. Общедоступность же персональных данных четко обусловлена двумя условиями – это согласие субъекта или прямое требование закона (например, положения ст. 7 Федерального закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»10, предусматривающая идентификацию лица при совершении крупных сделок и передачу этой информации в соответствующие государственные структуры). Следовательно, ввиду отсутствия упомянутых выше двух условий в рассматриваемой ситуации, оператор по-прежнему был бы обязан сохранять их «конфиденциальность», как это ни парадоксально. В противном случае это было бы прямым нарушением прав субъекта, который мог пострадать, если бы информация о его частной или личной жизни, содержащаяся в персональных данных, стала предметом всеобщего обсуждения.

Часть указанных проблем в определении содержания правового режима конфиденциальности персональных данных можно объяснить особенностями природы персональных данных, которая тесным образом связана с правом на уважение частной жизни индивида, личную и семейную тайну. Некоторые российские авторы, например В.Н. Лопатин, в связи с этим прямо указывают на персональные данные как на институт охраны права на частную жизнь11. Такое положение дел объясняет необходимость особого подхода к персональным данным, при их обработке независимо от существования режима ограничения доступа к ним, поскольку их использование не должно нарушать общих фундаментальных прав индивида, таких, как право на частную жизнь, личную и семейную тайну.

Другая часть проблем объясняется тем, что персональные данные в случае наличия требования их конфиденциальности, которая обоснованно презюмируется, в том числе на основании последовательного анализа положений Закона, можно отнести к числу «производных» тайн12 или категорий информации ограниченного доступа. Это, в свою очередь, требует от их обладателя принятия безусловных мер по охране их конфиденциальности, поскольку охраняются в данном случае не его права и интересы, а права и интересы других лиц, в частности фундаментальные права и свободы человека. Поэтому, по мнению авторов, в отсутствие прямого интереса обладателя в защите конфиденциальности персональных данных существует необходимость четкого формулирования его обязанности в этом случае.

Последнее, что стоит отметить при характеристике персональных данных как конфиденциальной информации, связано с их соотношением в таком качестве с другими категориями информации с ограниченным доступом, что может представлять некоторые сложности. С одной стороны, персональные данные связаны с необходимостью защиты частной жизни индивида, сферы, по мнению большинства современных авторов13, едва ли поддающуюся четкому определению, с другой стороны, почти все определения, в том числе и законодательное, характеризуют их как «любую информацию, которая может быть связана с индивидом или идентифицирована с ним», а следовательно, персональные данные могут охватывать практически все сферы жизни индивида. Совершенно очевидно, что ввиду такой сложной природы они могут потенциально охраняться на условиях других режимов конфиденциальности/секретности, в частности на условиях режима государственной тайны, коммерческой тайны, служебной тайны и многих видов профессиональных тайн (врачебной, нотариальной, тайны усыновления и т.д.). На подобный вывод наталкивает анализ целого ряда положений Закона, по смыслу которых персональные данные составляют одновременно: государственную тайну (ч. 2 ст. 1), личную, семейную тайну, тайну частной жизни (ст. 2, 12), врачебную тайну (п. 3–4 ч. 2 ст. 10 и ст. 12), тайну следствия (л. 6 ч. 2 ст. 10), тайну правосудия и оперативно-розыскной деятельности (ст. 11). Вполне очевидно, что за некоторым исключением в отношении такой информации будут действовать одновременно требования законодательства о защите персональных данных и иного специального законодательства.

В заключение выразим общее суждение о некотором несовершенстве российского Закона в части определения персональных данных в качестве информации ограниченного доступа или конфиденциальной, что было отмечено уже и другими авторами, в частности Н.И. Петрыкиной14. В качестве возможных путей совершенствования положений законодательства авторам видится целесообразным сформулировать следующие предложения и выводы.

Во-первых, стоит ввести в законодательную материю понятие «конфиденциальные персональные данные», т.е. персональные данные, на которые, в соответствии законом о персональных данных, распространяется специальный правовой режим ограничения доступа к ним – режим конфиденциальности персональных данных.

Во-вторых, следует выделить в законе о персональных данных основные организационные меры по установлению режима конфиденциальности персональных данных. К таковым мерам следует отнести: установление оператором перечня конфиденциальных персональных данных, обработку которых он осуществляет, определить круг субъектов, которые будут иметь доступ к ним, установить правила использования соответствующих реквизитов на материальных носителях, содержащих конфиденциальные персональные данные.

В-третьих, указать в законе о персональных данных в качестве субъектов отношений по охране конфиденциальности персональных данных, «обладателя» информационной системы, базы/банка персональных данных, и непосредственно «оператора» информационной системы, базы/банка персональных данных, т.е. лицо, которое на основании трудового или гражданско-правового договора осуществляет эксплуатацию, обслуживание такой информационной системы и имеет доступ к персональным данным. Определить особенности их правового статуса и ответственности.

_______________________

1 См.: Об информации, информатизации и защите информации: федеральный закон от 20 февраля 1995 г. № 24-ФЗ, ч. 1 ст. 11 // Российская газета. 2003.7 июля.

2 См.: Об утверждении Перечня сведений конфиденциального характера: указ Президента РФ от 6 марта 1997 г. № 188 // Справочная правовая система «Гарант» по состоянию на 1 сентября 2008 г. URL: http://www.garant.ru

3 См.: Об информации, информационных технологиях и о защите информации: федеральный закон от 27 июля 2006 г. № 149-ФЗ // Российская газета. 2006. 27 июля.

4 См.: Об архивном деле: федеральный закон от 22 октября 2004 г. № 125-ФЗ (в ред. Федерального закона от 4 декабря 2006 г. № 202-ФЗ) // Справочная правовая система «Гарант» по состоянию на 1 сентября 2008 г. URL: http://www.garant.ru

5 См.: О государственной регистрации юридических лиц и индивидуальных предпринимателей: федеральный закон 8 августа 2001 г. № 129-ФЗ, ст. 6 (в ред. Федерального закона от 4 декабря 2006 г. № 202-ФЗ) // Правовая система «Гарант» по состоянию на 1 мая 2008 г. URL: http://www.garant.ru

6 См.: Положение о сертификации средств защиты информации. Утверждено Постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608 (с изменениями и дополнениями от 23 апреля 1996 г. № 509; от 29 марта 1999 г. № 342; от 17 декабря 2004 г. № 808); Положение о сертификации средств защиты информации по требованиям безопасности информации. Утверждено Приказом Председателя Государственной технической комиссии при Президенте Российской Федерации от 27 октября 1995 г. № 199; Положение о лицензировании деятельности по технической защите конфиденциальной информации. Утверждено Постановлением Правительства Российской Федерации от 15 августа 2006 г. № 504 (указанные нормативные документы доступны по официальном электронному адресу Федеральной службы по техническому и экспортному контролю. URL: http://www.fstec.ru/_razd/_ispo.htm).

7 См.: О государственной тайне: закон Российской Федерации от 21 июля 1993 г. № 5485-1, раздел 3 «Отнесение сведений к государственной тайне и их засекречивание» (в ред. Федеральных законов от 6 октября 1997 г. № 131-ФЗ, от 30 июня 2003 г. № 86-ФЗ, от 11 ноября 2003 г. № 153-ФЗ, от 29 июня 2004 г. № 58-ФЗ, от 22 августа 2004 г. № 122-ФЗ, с изм., внесенными Постановлением Конституционного Суда РФ от 27 марта 1996 г. № 8-П, определениями Конституционного Суда РФ от 10 ноября 2002 г. № 293-O, от 10 ноября 2002 г. № 314-О) // Справочная правовая система «Гарант» по состоянию на 1 сентября 2008 г. URL: http://www.garant.ru

8 См.: О коммерческой тайне: федеральный закон от 29 июля 2004 г. № 98-ФЗ, ст. 10 в ред. Федерального закона от 2 февраля 2006 г. № 19-ФЗ, от 18 декабря 2006 г. № 231-ФЗ) // Справочная правовая система «Гарант» по состоянию на 1 сентября 2008 г. URL: http://www.garant.ru

9 См.; О служебной тайне: проект федерального закона, законопроект № 124871 -4, глава 2 «Отнесение сведений к служебной тайне и снятие ограничений на их распространение».

10 См.: О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма: федеральный закон от 7 августа 2001 г. № 115-ФЗ // Российская газета. 2001. 7 авг.

11 См.: Бачило И.Л., Лопатин В.Н., Федотов МА Информационное право. СПб.: изд. «Юридический центр Пресс», 2005. С. 243.

12 См.: О классификации конфиденциальной информации на «первичные» и «производные» тайны см.: Волчинская Е.К. Коммерческая тайна в системе конфиденциальной информации.

13 См.: Бачило И.Л., Лопатин В.Н., Федотов М.А. Указ. соч. С. 220 ; Головкин Р.Б. Правовое и моральное регулирование частной жизни в современной России : дис. ... д-ра юрид. наук: 12.00.01. Н. Новгород/ 2005. С. 117; Баранов В.М. Категория «частная жизнь» // Право граждан на информацию и защита неприкосновенности частной жизни. Н. Новгород, 1999. С. 34-37.

14 Петрыкина Н.И. К вопросу о конфиденциальности персональных данных // Правовая система «Гарант» по состоянию на 1 мая 2008 г. URL: http://www.garant.ru.

© «Информационное право»

Обновлено: 11.03.2015