ПЕРСОНАЛЬНЫЕ ДАННЫЕ: ЕСТЬ ЛИ ПРОБЛЕМЫ ?

Поздним вечером серая тень скользнула к небольшому котеджу в пригороде Лос-Анджелеса. Спустя некоторое время к дому подъехала машина и на асфальт выпорхнуло воздушное создание. Звонко рассмеявшись в ответ на прощальные слова водителя, женщина медленно пошла к дому. Только лишь она скрылась за углом, как раздался душераздирающий крик, затем послышался шум резко отъезжающего автомобиля...

Утренние газеты сообщили на первых страницах о зверском убийстве актрисы Р.Шеффер человеком, узнавшим ее адрес в базе данных отдела выдачи водительских прав калифорнийской полиции. Этот и подобные ему случаи вызвали массовые протесты и возмущения, которые привели к тому, что в 1993 году сенатор Б.Боксер выступила с законопроектом о защите личной тайны водителей автотранспорта, а сенатор П.Саймон - с законопроектом о защите личной тайны. Последний законопроект направлен на нейтрализацию потенциальных угроз массовых нарушений права на личную тайну или вмешательства в личную жизнь, особенно в связи с накоплением информации в различных базах данных.

Действительно, проблема защиты сведений о конкретных людях (персональных данных) является одним из важных аспектов проблемы защиты и обеспечения прав человека. Особую актуальность она приобрела в последние десятилетия, ознаменовавшиеся практически повсеместным внедрением информационных технологий, основанных на применении средств вычислительной техники. Понимая необходимость применения современных технологий при обработке информации о личности, общество в то же время озабочено возникающими при этом угрозами для конкретного человека. Поэтому в 1981 году в Страсбурге многими странами была подписана Конвенция по защите информации о личности при автоматизированной обработке данных.

В различных странах по-разному складывалась ситуация в области защиты персональных данных. Но общим является следующее:

создается комплекс законодательных и подзаконных актов, позволяющий достаточно полно регулировать отношения, связанные со сбором, накоплением, хранением и использованием персональных данных в процессе их автоматизированной обработки в различных областях;

появляется специальный институт уполномоченного с целью обеспечения независимого надзора за соблюдением прав человека при автоматизированной обработке персональных данных;

создается инфраструктура, позволяющая решать проблемы, связанные с техническими аспектами защиты данных.

В настоящее время в Украине проблема защиты персональных данных требует решения задач сразу в нескольких направлениях - политическом, законодательном, организационном и техническом.

Политическое. Вхождение в Совет Европы требует от нас, по крайней мере, учтения, если не полного принятия, той системы ценностей, которая господствует в этом сообществе. Конечно, нельзя предположить, что мы сможем за короткое время присоединиться ко всем договорам (конвенциям), которые уже наработаны. Даже простое осмысление содержания этих договоренностей требует значительных интеллектуальных и материальных усилий, не говоря уже о возможном проецировании этого содержания на реалии Украины, о прогнозировании последствий присоединения или неприсоединения к этим договоренностям. Необходимы прогнозные оценки последствий наших действий, чтобы, как говорится, не наломать дров. При этом следует учитывать тот факт, что многие договоренности Совета Европы основаны на ментальности, условиях жизни и общественно-экономических реалиях, несколько отличающихся от наших.

Поэтому одной из важнейших задач сегодняшнего дня должно быть обоснованное определение приоритетов внешней политики в развитии отношений с Советом Европы, проведение четко скоординированной внутригосударственной работы по обеспечению этих приоритетов. Определение приоритетов - задача предельно важная и сложная, для ее решения потребуется привлечение разноплановых специалистов.

Насколько же важно для Украины присоединение к Конвенции по защите информации о личности при автоматизированной обработке данных? Настолько, насколько:

широко и масштабно производится и будет производиться в государстве автоматизированная обработка персональных данных в различных целях - финансовых (банки, страховые общества, трасты), правоохранительных, социальных (здравоохранение, социальная помощь малоимущим, пенсионное обеспечение) и т.п.;

реальна угроза нанесения ущерба личности в результате несанкционированного использования или несанкционированной модификации персональных данных.

Очевидно, и первое, и второе обстоятельства актуальны для нашего общества уже сейчас. Приведем лишь один пример. В настоящее время вводится Государственный реестр физических лиц-плательщиков налогов и других обязательных платежей. Можно лишь предположить, какой интерес может проявляться к содержанию подобных реестров, иногда без законных на то оснований. Кроме того, существует вполне реальная угроза несанкционированного изменения данных в этом реестре, реализация которой может нанести конкретной личности серьезный материальный ущерб в виде неправильно начисленных налогов и штрафов.

Сказанное в полной мере касается и других масштабных проектов - единой системы обработки данных в таможенной службе, электронного депозитария ценных бумаг, единой паспортной системы и т.д.

Более того, участие Украины в международном процессе обмена информацией, в различных международных проектах, основанных на использовании информационных технологий (Интерпол, Партнерство ради мира, банковские технологии и т.п.), объективно требует обеспечения защиты данных, в том числе и персональных, при их автоматизированной обработке и передаче.

Таким образом, даже при приблизительной оценке представляется необходимым в самое ближайшее время рассмотреть вопрос о целесообразности принятия положительного политического решения о присоединении Украины к Конвенции по защите информации о личности при автоматизированной обработке данных. Однако необходимо ясно представлять себе, что вслед за этим предстоит выполнить большую работу в законодательной области.

В Украине действует более двух десятков законодательных актов, в той или иной степени регулирующих отношения, связанные со сбором, использованием и передачей информации о личности, среди них - Конституция Украины, законы Украины «Об информации», «О нотариате», «Об адвокатуре», «О связи», «Об организационно-правовых основах борьбы с организованной преступностью», «О милиции», «О банках и банковской деятельности», «Основы законодательства Украины об охране здоровья» и другие.

Определение того, что же составляет информацию о личности, дано в ст. 23 закона Украины «Об информации»: «это совокупность документированных или публично объявленных сведений о личности». В ст. 23 ч. I этого же закона дается исчерпывающий перечень сведений, которые законодатель относит к «данным о личности (персональным данным) - национальность, образование, семейное положение, вероисповедание, состояние здоровья, а также адрес, дата и место рождения». Вполне очевидно, что этот перечень является явно не полным и не охватывает все сведения о личности, на которые мог бы распространяться правовой режим охраны, определяемый в ч. IV ст. 23 закона Украины «Об информации». И это косвенно подтверждается тем, что в отдельных нормах других законов данный перечень дополняется.

В ст.9 закона Украины «Об адвокатуре» дается определение предмета адвокатской тайны: «вопросы, по которым гражданин или юридическое лицо обратились к адвокату, суть консультаций, советов, разъяснений и других сведений, полученных адвокатом при исполнении своих профессиональных обязанностей». Понятно, что граждане обращаются к адвокату по вопросам, которые касаются их лично, и сообщают ему сведения о себе, а суть консультаций, советов, разъяснений адвоката, в свою очередь, также освещает личную жизнь граждан, т.е. речь идет о сведениях, которые могут быть отнесены к данным о личности.

В ч. II ст.14' УПК Украины к данным о личности законодатель относит гораздо более широкий круг сведений: «личная жизнь граждан, тайна переписки, телефонных переговоров и телеграфных уведомлений охраняется законом». А в соответствии со ст. 9 закона Украины «Об оперативно-розыскной деятельности» под охрану закона попадают не просто сведения о личной жизни человека, но и сведения, которые касаются его чести и достоинства. Этот перечень можно продолжать и дальше.

Таким образом, можно сделать вывод о том, что в ст. 23 закона «Об информации» законодатель недостаточно четко дал определение данных о личности (персональных данных). А ведь это понятие несет гносеологическую нагрузку: именно на его базе должны формироваться гипотезы норм, регулирующих отношения в процессе защиты тех или иных персональных данных.

В тексте Конвенции по защите информации о личности при автоматизированной обработке данных находим следующее определение персональных данных: «информация о личности - любая информация о физическом лице, которое идентифицировано или может быть идентифицировано». Это определение позволяет предоставить правовой «зонтик» защиты практически для любой информации о личности и однозначно устанавливать правовой режим ее охраны, что даст возможность устранить некоторые коллизии в современном законодательстве.

Например, в законе Украины «О предотвращении заболеваний СПИДом и социальной защите населения» информация о заражении вирусом иммунодефицита человека или о заболевании СПИДом объявляется служебной тайной. В то же время в соответствии со ст. 40 «Основ законодательства Украины об охране здоровья» такая информация отнесена к врачебной тайне. Правовые последствия разглашения служебной тайны и врачебной тайны различны. Кстати, порядок отнесения информации и к врачебной тайне, и к служебной тайне четко не определен.

В соответствии с теорией права законодательный акт должен содержать нормы, которые устанавливали бы объект правового регулирования, субъекты рассматриваемых правоотношений, права и обязанности этих субъектов, а также гарантии соблюдения прав и ответственность за нарушение этих прав. Только наличие всех названных компонентов гарантирует ему реальную жизнь и не позволяет остаться «бумажным» законом. К сожалению, многие из действующих законодательных актов, призванных регулировать вопросы защиты персональных данных, остаются на бумаге из-за того, что в них не нашли отражения вопросы определения обязанностей должностных лиц и граждан по неразглашению персональных данных, а особенно определения гарантий реализации права личности на сохранность информации о ней и ответственности в случае нарушения этого права.

В области правового регулирования отношений, связанных со сбором, использованием и передачей информации о личности, в первую очередь необходимо решить следующие проблемы:

четкого и конкретного правового определения того, что относится к информации о личности;

определения системы информационных массивов различного уровня и назначения, в которых может накапливаться информация о личности, а также органов, ответственных за формирование, хранение, использование и защиту этих массивов;

регламентации деятельности, связанной со сбором, использованием и передачей информации о личности;

создания системы защиты прав личности в случае неправомерного использования информации о ней;

четкого законодательного определения объема и содержания информации о личности; определения процедур отнесения к такой информации; определения прав, обязанностей, гарантий обеспечения прав и ответственности субъектов отношений, которые возникают в процессе сбора, использования и передачи информации о личности.

В целом представляется необходимым поставить вопрос о целесообразности разработки закона, в котором бы нашли отражение все вопросы правового регулирования отношений, связанных с созданием, владением, распоряжением, использованием и охраной персональных данных. В этом случае была бы обеспечена единая идеология правового регулирования в очень важной области общественных отношений. В то же время необходимо принимать во внимание то, что при решении всех вопросов защиты персональных данных при автоматизированной обработке, в том числе вопросов юридических, необходимо учитывать специфические особенности технической защиты информации в средствах вычислительной техники.

Одним из краеугольных вопросов является определение принципов государственной политики в отношении защиты персональных данных. Во многих западных странах эта проблема решается за счет введения института уполномоченного по защите данных. Впервые уполномоченный по защите данных появился в земле Гессен (ФРГ) в 1970 году. В настоящее время такой институт существует во многих странах Европы. Как правило, уполномоченный по защите данных избирается национальным парламентом и является независимой инстанцией.

Наша ментальность в вопросах масштабного управления склоняется к приоритету государственной формы регулирования процессов в обществе. Однако одной из важнейших целей защиты персональных данных является обеспечение баланса интересов государства и личности, а это в современных украинских условиях должно пониматься как защита интересов личности от возможных неправомерных действий представителей государства. Таким образом, существует некоторое противоречие: с одной стороны, для обеспечения демократического и действительно независимого механизма защиты прав личности в процессе автоматизированной обработки персональных данных целесообразно введение института независимого уполномоченного по защите данных, а с другой - общество пока еще не готово видеть в качестве защитника своих интересов некий государственный орган. Но это «пока» имеет очень маленький запас прочности.

Прежде чем предложить возможные пути разрешения этого противоречия, изложим некоторые особенности проблемы защиты персональных данных. По существу она делится на две части, взаимосвязанные и в то же время достаточно автономные, - организационную и техническую.

Организационная часть проблемы связана с определением и проведением организационных мероприятий по защите персональных данных, начиная с определения списка лиц, допускаемых к сбору, использованию и передаче информации о личности; определения конкретного объема сведений, составляющих персональные данные, для конкретного информационного массива; порядка регистрации этих сведений и заканчивая определением порядка контроля за выполнением требований законодательства в области защиты персональных данных.

Техническая часть связана с определением необходимого комплекса средств технической защиты информации от несанкционированного доступа и от несанкционированного нарушения ее целостности (модификации и уничтожения), с построением системы технической защиты информации в средствах вычислительной техники, с помощью которых ведется автоматизированная обработка данных о личности, а также с необходимостью постоянного контроля эффективности работы этой системы. Иными словами, все это - проблема компьютерной безопасности, методы и способы достижения обеспечения могут существенно влиять на содержание организационных мероприятий. Более того, даже нормы законодательных актов должны создаваться с учетом реалий в области технической защиты информации в системах автоматизированной обработки данных.

При практическом решении проблем обеспечения компьютерной безопасности требуется привлечение высококвалифицированных специалистов и в то же время необходим контроль за результатами их деятельности, который должны осуществлять специалисты не меньшей квалификации.

Исходя из сказанного выше, схема решения проблемы защиты персональных данных в государстве могла бы выглядеть так:

1. Создание института уполномоченного по защите данных для осуществления надзора за четким соблюдением процедуры организации защиты персональных данных, защиты личности в случае нарушения ее прав, координации деятельности в этой области.

2. Разработка требований по защите информации от несанкционированного доступа и от несанкционированного нарушения ее целостности, которая возлагается на государственные органы, осуществляющие надзор в области технической защиты информации.

В целом необходимо признать, что вступление в Совет Европы потребует от Украины кропотливой и систематической работы по приведению в соответствие со стандартами этой организации многих наших законов и подзаконных актов с тем, чтобы внедрить эти стандарты в нашу жизнь, тем более, что этого требуют интересы наших соотечественников.