EnglishРусский

К ВОПРОСУ ОБ ОБЕСПЕЧЕНИИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В РОССИИ

С. Ю. Трофимцева Специалист

Самарский юридический институт ФСИН России,

г. Самара, Россия

 

Развитие IT-технологий непосредственно влияет на общественные отношения, в связи с чем неизбежна корректировка правового регулирования данной сферы. Правовой характер Российского государства [4], который определён нормой Конституции РФ, предполагает создание правовых гарантий защиты прав граждан, тем более что в условиях развития информационного общества проблемы обеспечения информационной безопасности РФ как состояния защищённости интересов личности, общества и государства в инфосфере [1] выходят на первый план.

В Российской Федерации предусмотрены конституционные гарантии неприкосновенности частной жизни, защиты личной и семейной тайны граждан [4], а в связи с ратификацией Россией Европейской Конвенции «О защите физических лиц при автоматизированной обработке персональных данных» стали создаваться ещё и правовые гарантии защиты персональных данных субъектов.

Однако сразу же следует обратить внимание на ряд проблем в данной области, в первую очередь, на то, как соотносятся по содержанию и объёму понятия «частная жизнь», «личная тайна», «семейная тайна» и «персональные данные». Что касается первых трёх понятий, то предполагалось, что после принятия Конституции РФ в 1993 году должны будут появиться федеральные законы, где присутствовали соответствующие нормы-дефиниции. Однако до настоящего момента таких федеральных законов нет. Правда, в 2005 году после обращения одного из граждан Конституционный суд РФ дал определение личной и семейной тайне: «Под личной и семейной тайной (частной жизнью) лица понимаются те сведения, которые не могут быть известны неопределённому кругу лиц, та область жизнедеятельности человека, которая относится к отдельному лицу, касается только его и не подлежит контролю со стороны общества и государства» [5]. Однако при этом, во-первых, Конституционный суд включил понятия «личная тайна» и «семейная тайна» в объём понятия «частная жизнь» так, что, по сути, исключило возможность дополнения объёма указанного понятия другими. Тем не менее, стоит отметить, что объём понятия «частная жизнь» представляется шире, нежели чем это следует из Определения Конституционного суда, а понятия «личная тайна» и «семейная тайна» явно не контрадикторные, а соподчинённые или пересекающиеся. Во-вторых, Конституционный суд не привёл отдельно дефиниции понятий «личная тайна» и «семейная тайна», поэтому определить границы их объёмов является проблематичным. Исходя из норм УК РФ, можно утверждать, что информация об усыновлении (удочерении) явно относится к семейной тайне, но вопрос о том, как ещё можно дополнить данный перечень, остаётся открытым (к примеру, информацию о заключении брака к семейной тайне отнести нельзя в силу её общедоступности). Можно предположить, что остальная информация о частной жизни лица составляет его личную тайну. Правда, несмотря на некоторую неопределённость понятий, в РФ предусматривается уголовная ответственность за нарушение неприкосновенности частной жизни (ст. 137 УК РФ), тайны переписки, телефонных переговоров, телеграфных, почтовых и иных сообщений (ст. 138 УК РФ) [6].

Если обратиться к опыту развитых стран, то в США Верховный Суд принял расширенное толкование IV поправки Конституции, в результате чего в 1974 году Конгрессом было закреплено в законе «О частной жизни» (The Privacy Act), закрепившем право граждан на защиту частной жизни от чрезмерного вмешательства государства (к примеру, нельзя придать огласке медицинские данные, использовать фамилию и имя без согласия лица, публиковать его некоторые фотографии, разглашать информацию о сексуальной жизни и т.п.).

В Российской Федерации рассмотренная выше некая правовая неопределённость, связанная с недостаточной чёткостью дефиниций указанных трёх терминов, усилилась путём введения в оборот понятия «персональные данные» после ратификации в 2005 году Конвенции Совета Европы и принятием в 2006 году Федерального закона РФ №152-ФЗ «О персональных данных». Соотношение всех этих понятий по объёму и содержанию является весьма сложным. Можно предположить, что понятия «личная тайна» и «семейная тайна» ‑ пересекающиеся, выступающие соподчинёнными понятию «частная жизнь», а понятие «персональные данные» ‑ пересекающееся со всеми тремя. На нормативном уровне разрешение возникшей неопределённости ожидалось в 2011 году путём внесения поправок в Федеральный закон «О персональных данных». Однако новая редакция 152-ФЗ указанную неясность только усилила. Согласно норме ст. 3 152-ФЗ, персональные данные – «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)» [10], т.е., фактически, объём данного понятия ограничить почти невозможно (хотя по духу нормы п. а ст. 2 Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» [3], персональными данными можно считать только ту информацию, на основании которой субъекта можно идентифицировать). При этом следует подчеркнуть, что если безопасное государство должно, согласно ст. 2 152-ФЗ, обеспечивать защиту прав и свобод человека и гражданина при автоматизированной обработке его персональных данных [10], то является непонятным, какую именно информацию, внесённую в автоматизированные системы, государство должно защищать от противоправных посягательств в отношении целостности, конфиденциальности персональных данных, поскольку косвенно к физическому лицу может относиться не только любая социальная, но и любая биологическая и даже элементарная информация.

Следующая проблема связана с содержанием категорий персональных данных. В утратившем ныне силу Приказе ФСТЭК, ФСБ и Мининформсвязи России № 55/86/20 «потеряли» биометрические персональные данные, но их «нашли» во вступившем в силу с 2012 года Постановлении Правительства №1119 путём ввода информационных систем, обрабатывающих биометрические персональные данные, но при этом в указанном Постановлении отсутствует ссылка на информационные системы, обрабатывающие обезличенные персональные данные. Возможно, они включены в «информационные системы, обрабатывающие иные категории персональных данных» [7], но вряд ли это можно считать оправданным, поскольку степень общественной опасности, возникающей в результате несанкционированных действий на информацию, которая, к примеру, согласно Приказу № 55/86/20, относилась ко второй категории персональных данных [8], на порядок выше, нежели чем в результате аналогичных действий на информацию, относящуюся к обезличенным персональным данным. На настоящий момент данный вопрос продолжает оставаться открытым.

Кроме этого, в самом 152-ФЗ продолжает сохраняться весьма неординарная ситуация с представленным там перечнем информации, составляющей специальные категории персональных данных [10], что по ряду моментов противоречит ст. 6 Европейской Конвенции, определяющей специальные категории персональных данных как персональные данные, касающиеся расовой принадлежности, политических взглядов или религиозных или других убеждений, а также персональные данные, касающиеся здоровья или половой жизни, которые не могут подвергаться автоматизированной обработке, если внутреннее законодательство не устанавливает соответствующих гарантий, и это положение действует также в отношении персональных данных, касающихся судимости [3].

Можно выделить ещё ряд дополнительных моментов [см. 8], которые вызывают сложности в плане обеспечения защиты прав субъектов персональных данных и возможностей правоприменительной практики. Достаточно неопределённой является и ситуация с обработкой персональных данных умерших. Естественно, если субъект согласие на обработку своих персональных данных успел дать при жизни, проблем не возникнет, а если он умер, не дав согласия, то, согласно норме ч. 7 ст. 9 152-ФЗ, в случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных [10]. Однако проблема возникает тогда, когда или наследники неизвестны, или их нет. Если наследники вероятны, то для получения их согласия на обработку персональных данных умершего необходимо, к примеру, направить запрос в архив для установления этих наследников, но архив информацию не даст без письменного согласия лиц, персональные данные которых запрашивают. Ситуация доведена ad absurdum. Если же наследников просто нет, то, исходя из духа 152-ФЗ, обрабатывать персональные данные умершего никто никогда больше не сможет. Вопрос «что делать?» в этом случае становится риторическим.

В заключении необходимо указать меру ответственности, которая, несмотря на заявления представителей Роскомнадзора о необходимости увеличения штрафных санкций, продолжает сохраняться в РФ за несанкционированные действия в отношении персональных данных. Согласно ст. 13.11 КоАП РФ, нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) ‑ влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц – от пяти тысяч до десяти тысяч рублей [2]. Такой весьма незначительный штраф за данное правонарушение с учётом недостаточного надзора со стороны регуляторов за действиями операторов вкупе с низкой правовой культурой граждан сформировало в РФ ситуацию реальной незащищённости прав субъектов персональных данных, что не может не вызывать серьёзной тревоги. При этом если обратиться к правоприменительной практике европейских государств, то, к примеру, во Франции Глава III Раздела II Книги III Уголовного кодекса посвящена посягательствам на систему автоматизированной обработки данных, где уголовно-наказуемыми считаются деяния, выражающиеся в несанкционированном доступе к системе обработки персональных данных, в уничтожении или изменении содержащихся там данных, в ухудшении функционирования такой системы, в воспрепятствовании или нарушении работы системы, во введении в систему ложных данных (ст. 323-1 – 323.3 УК Франции) [10]. При этом санкции для физических лиц установлены в виде тюремного заключения от одного до трёх лет и штрафов в несколько тысяч евро, а для юридических лиц (это специфика уголовного законодательства Франции), осуществивших противозаконные операции с персональными данными, - в виде высоких штрафов вплоть до запрещения деятельности (ст.323-6 УК Франции) [11].

Таким образом, следует констатировать, что информационная безопасность личности в РФ на правовом уровне является пока недостаточно гарантированной, и задача российского законодателя в ближайшей перспективе должна быть связана с ликвидацией недоработок в законодательстве и с обеспечением эффективной правоприменительной практики.

 

Библиографический список

  1. Доктрина информационной безопасности РФ. Утверждена Указом Президента от 09 сентября 2000 года № Пр-1895 [Текст] // Российская газета. – 2000. – 28 сентября. – № 187.
  2. Кодекс об административных правонарушениях от 30 декабря 2001 года № 95-ФЗ в ред. ФЗ [Текст] // http://www.consultant.ru/popular/koap/13_14.html#p4706 (Дата обращения: 01.12.2014 г.).
  3. Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», Страсбург, 28 января 1989 года. Ратифицирована Федеральным законом «О ратификации Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» от 19 декабря 2005 года № 160-ФЗ [Текст] // Российская газета. – 2005. – 22 декабря. - №288.
  4. Конституция Российской Федерации. Принята всенародным голосованием 12 декабря 1993 года в ред. от 30 декабря 2008 года №6-ФКЗ, №7-ФКЗ // Собрание законодательства Российской Федерации. – 2009. – №4. – Ст. 445.
  5. Определение Конституционного Суда РФ от 09 июня 2005 года №248-О. – Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_54736/ свободный. – Язык русс., англ. – Заглавие с экрана. (Дата обращения: 30.04.2014 г.).
  6. Уголовный Кодекс РФ от 13 июня 1996 года №63-ФЗ в ред. ФЗ. – Режим доступа: http://www.consultant.ru/popular/ukrf/10_27.html#p1945, свободный. – Язык русс., англ. – Заглавие с экрана. (Дата обращения: 01.12.2014 г.).
  7. Постановление Правительства РФ «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» от 01 ноября 2012 года № 1119 [Текст] // Российская газета. – 2012. – 07 ноября. – Федеральный выпуск № 5929.
  8. Приказ ФСТЭК, ФСБ, Мининформсвязи России № 55/86/20 от 13 февраля 2008 года «Об утверждении Порядка проведения классификации информационных систем персональных данных» (утратил силу) [Текст] // Российская газета. – 2008. – 12 апреля. – Федеральный выпуск № 4637.
  9. Трофимцева, С.Ю. Защита персональных данных: некоторые проблемы правоприменительной практики [Текст] / С.Ю. Трофимцева // Безопасность личности: состояние и возможности обеспечения. Материалы международной научно-практической конференции. Пенза – Ереван – Колин, 10-11 мая 2011 года. – Пенза: НИЦ «Социосфера», 2011. – С.72-75.
  10. Федеральный Закон «О персональных данных» от 27 июля 2006 года № 152-ФЗ в ред. ФЗ. – Режим доступа: http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=law;n=163964, свободный. – Язык русс., англ. – Заглавие с экрана. (Дата обращения: 01.12.2014 г.).
  11. France: Code pénal (Version consolidée au 27 mars 2014 [Ressources électroniques]. - Mode d'accès: http://www.legifrance.gouv.fr/affichCode.do;jsessionid=ACAD58662A3CECCA88A42F6142A3DBCF.tpdjo12v_1?idSectionTA=LEGISCTA000006149839&cidTexte=LEGITEXT000006070719&dateTexte=20140405, libre. - Français. Écran de titre. (Дата обращения: 29.04.2014 г.).

Комментарии:

Ваш ник:
Ваш email:
Текст комментария: