Содержание к диссертации
Введение
Глава I. Теоретико-правовые основы института персональных данных 14
1. Историко-правовые предпосылки формирования и современные тенденции развития института персональных данных в Российской Федерации 14
2. Понятие, правовая природа и виды персональных данных 58
Глава II. Правовой статус субъектов, участвующих в обороте персональных данных 104
1. Общая характеристика правового понятия «субъект персональных данных» 104
2. Оператор, организующий и (или) осуществляющий обработку персональных данных: понятие и виды 121
3. Права и обязанности субъектов, участвующих в обороте персональных данных 135
4. Правовой статус Уполномоченного органа по защите прав субъектов персональных данных 161
Заключение 174
Библиографический список 179
- Историко-правовые предпосылки формирования и современные тенденции развития института персональных данных в Российской Федерации
- Понятие, правовая природа и виды персональных данных
- Общая характеристика правового понятия «субъект персональных данных»
- Оператор, организующий и (или) осуществляющий обработку персональных данных: понятие и виды
Введение к работе
Актуальность темы диссертационного исследования. Наряду с иными кардинальными изменениями, произошедшими практически во всех сферах жизни в конце XX века, в Российской Федерации начался переход к информационному обществу, целями формирования и развития которого являются повышение качества жизни граждан, обеспечение конкурентоспособности России, развитие экономической, социально-политической, культурной и духовной сфер жизни общества, совершенствование системы государственного управления на основе использования информационных и телекоммуникационных технологий .
В настоящее время технические средства позволяют производить сбор и обработку существенных объемов социально значимых сведений, необходимых для эффективного функционирования государственных механизмов, протекания общественных процессов, а также реализации прав человека. Стремительное развитие информационных технологий дает возможность получать доступ и использовать различные банки данных практически любым субъектам информационных отношений. Постоянно ускоряющаяся информатизация общества и активное развитие открытых информационных систем значительно упрощают утечку и иные формы незаконного доступа к личной информации, что делает задачу обеспечения необходимой правової! защиты персональной информации особо актуальной и значимой.
Сегодня информация персонального характера всё чаще рассматривается «как экономически выгодный товар и как источник власти»". Между тем, информационная сфера представляет собой одно из важнейших направлении реализации интересов личности. А интересы личности, в свою очередь, в совокупности с интересами государства и общества в информационной сфере составляют информационную безопасность Российской Федерации3.
В современном мире, в принципе, трудно избежать идентификации, но запретить хранить информацию персонального характера, обрабатывать ее и использовать в целях, не согласованных с ее субъектом, возможно и, безусловно, необходимо. Меры по обеспечению безопасности и предотвращению незаконных действий с персональными данными получили легальное обозначение в виде понятия «защита персональных данных». Несмотря на то, что его основы были заложены зарубежным правом, Россия восприняла его, как представляется, достаточно успешно, учтя не только накопленный иностранными государствами правовой опыт, но и произошедшие в российском обществе политические преобразования, общественные реалии, а также современные тенденции развития права.
Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»4 представляет собой важную попытку создать основы межотраслевого регулирования отношений, возникающих в сфере оборота персональных данных. Сегодня в рамках российской системы регулирования персональных данных успешно развиваются три важнейших направления: формирование законодательного массива, направленного на регламентацию оборота персональных данных; установление четких принципов оборота персональных данных, получивших последовательное закрепление в нормативных актах различного уровня; создание специальной институциональной структуры, обеспечивающей надзор за соблюдением прав субъектов персональных данных.
Однако, процесс формирования нормативной базы, регулирующей оборот персональных данных, как нам представляется, сегодня находится лишь на стадии становления, о чем свидетельствует, прежде всего, активная нормотворческая деятельность в этом направлении.
Доктрина информационной безопасности Российской Федерации, утв. Президентом Российской Федерации 9 сентября 2000 г. № Пр-1895 // Российская газета. № 187. 28.09.2000. 4 Российская газета. № 165. 29.07.2006. Во-первых, постепенно формируется нормативная база, состоящая из специализированных правовых актов различной юридической силы, к числу которых следует отнести: Федеральный закон от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»5, Федеральный закон «О персональных данных», Федеральный закон от 3 декабря 2008 г. № 242-ФЗ «О государственной геномной регистрации в Российской Федерации»6, Постановление Правительства Российской Федерации от 17 ноября 2007 г. Лг» 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»7, Постановление Правительства Российской Федерации от 6 июля 2008 г. № 5 12 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» , Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»9 и другие.
Во-вторых, в настоящее время значительно возросли темпы нормотворчества государственных органов исполнительной власти в данном сфере. Так, практически каждым федеральным министерством и ведомством были изданы акты, регулирующие обработку персональных данных служащих указанных органов или их оборот в целом. К числу таких актов следу соотнести: Приказ Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. № 20 «Об утверждении порядка проведения классификации информационных систем персональных данных»10; Приказ Федерального дорожного агентства от 2 февраля 2009 г. № 5 «О защите персональных данных государственных гражданских служащих Федерального дорожного агентства»11; Приказ Федерального агентства по недропользованию от 17 января 2008 г. № 28 «О защите персональных данных государственных гражданских служащих центрального аппарата и заместителей руководителей территориальных органов Федерального агентства по недропользованию»12; Приказ Государственной фельдъегерской службы Российской Федерации от 9 апреля 2008 г. № 115 «О персональных данных в системе Государственной фельдъегерской службы России» ; Приказ Министерства сельского хозяйства Российской Федерации от 7 августа 2008 г. № 389 «О защите персоналы 11 ,і х данных государственных гражданских служащих Министерства сельского хозяйства Российской Федерации»14 и пр.
В-третьих, институт персональных данных активно укрепляется в российской правовой системе за счет норм непрофильного законодательства, к которому, в частности, относятся: Трудовой кодекс Российской Федерации13, Федеральный закон от 1 апреля 1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»16, Федеральный закон от 15 ноября 1997 г. № 143-ФЗ «Об актах гражданского состояния»17, Федеральный закон от 7 августа 2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»18 и другие.
Но, несмотря на столь развитую систему нормативных актов, недостаточная правовая определенность персональных данных продолжает оставаться серьезной проблемой развивающегося российского информационного законодательства, что способно значительно снизить позитивный эффект его реформирования. Последнее представляется особенно важным ввиду того, что именно развитие законодательных механизмов является основным направлением в области совершенствования системы государственных гарантий конституционных прав и свобод человека и гражданина в информационной сфере.
Вышеизложенное обуславливает актуальность темы диссертационного исследования и свидетельствует о необходимости комплексного и системного изучения норм права, касающихся института персональных данных, с целью восполнения пробелов действующего, в том числе информационного, законодательства.
Историко-правовые предпосылки формирования и современные тенденции развития института персональных данных в Российской Федерации
Современная концепция прав и свобод человека и гражданина, частью которой является право на неприкосновенность частной жизни, явилась следствием длительного исторического развития не только правовых норм, но и правопонимания в целом.
Личные права, в число которых входят право на информацию, а также право на неприкосновенность частной жизни, принято относить к гак называемому первому поколению прав (в соответствии с историческими этапами утверждения прав). Категория «личные права» означает наличие у субъекта таких правомочий, которые обеспечивают его автономию, приоритет внутренних, индивидуальных ориентиров . Кроме того, как отмечает И. Берлин, «отличительной особенностью этой группы прав является то, что они опираются на концепцию негативной свободы (свободы «от»), предполагающую отсутствие принуждения, возможность действовать но собственному выбору, не подвергаясь чьему-либо вмешательству, прежде всего, со стороны государства» .
Национальное американское, европейское законодательство, а также законодательство иных стран в сфере рассматриваемых правоотношении складывалось, начиная с 70-х гг. XX века, и изначально основывалось на желании граждан защитить информацию о своей частной жизни от третьих лиц, гарантировать ее неприкосновенность. Дальнейшее развитие техники и информационных правоотношений в целом поставило перед государством новые задачи - определить место информации персонального характера в системе информационных ресурсов, используемых в различных сферах социальной жизни, а также предоставить гражданам возможность принятия адекватных мер по ее защите.
В Российской Федерации процесс включения в правовую систему института персональных данных начался существенно позже указанного периода и основывался в большей степени на европейском, нежели американском, опыте.
Прежде чем привести краткий анализ американской и европейской моделей защиты персональных данных и, в частности, процесса их возникновения и развития, представляется важным подчеркнуть следующее. Рассматривая в настоящей работе правовые нормы, регулирующие оборот персональных данных, как самостоятельный институт информационного права, следует, прежде всего, отметить, что указанный термин является одним из наиболее часто употребляемых в юридической литературе и толкуется, как правило, как совокупность правовых норм, регулирующих определенную группу взаимосвязанных общественных отношений .
По нашему мнению, следует согласиться с И. П. Корякиным, выделившим следующие признаки правового института: однородность фактического содержания, юридическое единство правовых норм, нормативная обособленность, полнота регулируемых отношений .
Действительно, общественные отношения, связанные с оборотом персональных данных, представляются нам одной из обособленных групп информационных правоотношений, специфика которых связана с предметом информацией ограниченного доступа, призванной идентифицироваїь физических лиц (персональными данными). Последнее также связано с необходимой, естественной корреляцией особенностей регулируемых отношении, «отличающихся качественным единством» , в рамках целостной системы правовых институтов, объединяемых отраслью права -информационного права.
При этом нормы, входящие в рассматриваемый правовой институт, образуют единый комплекс, в состав которого входят не только общие правовые принципы обращения информации персонального характера, по также целый нормативный массив, детально регламентирующий указанный процесс, что позволяет говорить о наличии специального правового режима персональных данных.
Нормативная обособленность института персональных данных выражается в совокупности правовых актов, регламентирующих персональные данные, и, в первую очередь, специального федерального закона. Кроме того, наличие в составе указанной совокупности разнообразных правовых норм -дефинитивных, управомачивающих, запрещающих и др. - говорит об их единой цели - максимально подробно и эффективно урегулировать общественные отношения, связанные с оборотом персональных данных.
В подтверждение указанного тезиса можно привести слова В. С. Якушева, который отмечал, что в качестве юридического признака правового института «выступает такая совокупность норм, которая опирается на норм) (нормы) закона, закрепляющую основное отношение (определяющую его участников, содержание, предмет, результат и др.). Эта норма (нормы) служит правовой основой формирования института как совокупности норм»
Понятие, правовая природа и виды персональных данных
Исходя из определения, содержащегося в ст. З ФЗ «О персональных данных», персональные данные - это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
В Конвенции российский термин «персональные данные» употребляется как «данные личного характера» и означает любую информацию об определенном или поддающемся определению физическом лице. Таким образом, указанная информация призвана идентифицировать конкретного человека.
Идентификация (от лат. identifico — отождествляю) означает выделение индивидуально-определенного объекта из множества ему подобных, однородных и проводится на основе достоверно установленной системы идентификационных признаков88, а в криминалистике - установление тождества индивидуально-определенного объекта или личности по совокупности общих и частных признаков (например, идентификация личности по почерку, ДІЖ, следам рук и пр.).
Одно из первых легальных определений персональных данных, установленное Федеральным законом «Об информации, информатизации и защите информации», не соответствовало современной позиции по этому вопросу, так как, исходя из него, к персональным данным могли относиться только те сведения, которые собирались с целью идентификации ранее неизвестного лица, в то время как информация может собираться и об уже известном лице.
Более верный подход был избран ФЗ «О персональных данных», который подчеркнул важность самой возможности идентификации лица через его персональные данные, что соответствует Директиве ЕС №95/46/ЕС.
Стоит отметить, что сама категория «идентификация» носит характер четкой определенности, исключающий инвариантность толкования идентифицирующих единиц. Однако в ряде случаев законодатель, что представляется нам необоснованным, отступает от этого подхода, вводя термин «персональные данные оценочного характера». Так, например, в соответствии со ст. 89 Трудового кодекса Российской Федерации работник имеет право дополнить собственные персональные данные оценочного характера заявлением, выражающим его собственную точку зрения. Эта позиция поддерживается Положением о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела, утвержденным Указом Президента Российской Федерации от 30 мая 2005 г. К» 609 (п. «в» ч. 6), а также подзаконными актами, регулирующими оборот персональных данных государственных гражданских служащих отдельных ведомств.
Указанный подход относительно наличия дополнительных (оценочных) характеристик персональных данных также разделяют отдельные ученые. Так, например, Ю. В. Травкин утверждает, что «к персональным данным относятся также мнения о данном человеке, объективные или субъективные, если они зафиксированы и соотнесены с данным человеком»90. Согласиться с последним достаточно сложно ввиду того, что категория «мнения» носит неправовой характер и не способна стать объективным источником информации как для самого субъекта персональных данных, так и для третьих лиц.
Указанная позиция косвенно подтверждается Постановлением Пленума Верховного Суда РФ от 24 февраля 2005 г. № 3 «О судебной практике по делам о защите чести и достоинства граждан, а также деловой репутации граждан и юридических лиц» , в пункте 9 которого подчеркивается важность дифференциации таких категорий как «утверждение о фактах» и «суждение оценочного характера», «мнение», «убеждение». В основе их разграничения лежит верификации информации, то есть возможность проверить соответствие сведений действительности. Так, если утверждение о фактах практически всегда может быть подкреплено доказательствами действительности, то суждения, мнения и убеждения являются лишь выражением субъективного мнения и взглядов лица и не могут быть проверены на предмет соответствия их действительности.
На наш взгляд, указанная позиция Верховного Суда Российской Федерации применима по аналогии и к отношениям, связанным с оборогом персональных данных. Суждение оценочного характера может лишь охарактеризовать физическое лицо (например, с точки зрения сложившейся деловой репутации работника или оценки работодателем его навыков и умений), но никак не персонифицировать его.
В связи с изложенным использование категории «персональные данные оценочного характера» представляется нецелесообразным.
Важно отметить, что при обезличивании персональных данных они утрачивают свой изначальный правовой статус, а, значит, и средства защиты, именно ввиду того, что они становятся несоотносимыми с конкретным лицом.
Особенностью персональных данных как вида информации ограниченного доступа является и то, что сам субъект данных заинтересован в осуществлении основной цели существования этого института на практике -идентификации, которая может производиться в обмен на предоставление определенных услуг или выполнение работ (например, когда указание персональных данных является обязательным условием подписания какого-либо договора).
Общая характеристика правового понятия «субъект персональных данных»
Субъект права является одной из базовых категорий как общей теории права в целом, так и информационного права в частности. Именно наличие в структуре правоотношения субъекта лежит в основе правореализациониых процессов, придающих норме права статус регулятора общественных отношений.
По общему правилу, субъектом права является физическое или иное лицо, наделенное законом правами и обязанностями и способное своими сознательными действиями и решениями осуществлять принадлежащие ему права и исполнять обязанности, т.е. обладающее таким качеством как правосубъектность, что, в свою очередь, позволяет ему выступать участником правоотношении в силу закона или по своему усмотрению .
Безусловно, категории «субъект права» и «субъект правоотношений» не являются идентичными, что неоднократно подчеркивалось в юридической литературе. Так, например, В. Я. Бойцов писал, что «субъект права - это потенциальный участник правоотношений, находящийся до вступления в правоотношение в статическом состоянии, а субъект правоотношения — субъект права, находящийся в стадии реализации своей правосубъектности, т.е. в динамическом состоянии»
Так и в правоотношениях, складывающихся в рамках оборота персональных данных, субъектом права на наличие такой информации и сохранение ограниченного доступа к ней в рамках, установленных законом, является любое физическое лицо, независимо от каких-либо критериев1 3. Последнее связано, прежде всего, с тем, что указанное право относится к числу личных абсолютных прав человека. Однако реализация его в полной мере возможна лишь в рамках конкретного правоотношения его конкретным субъектом.
Между тем, разграничение понятий «субъект права» и «субъект правоотношения» имеет не только научное, позволяющее всесторонне и глубоко исследовать характерные особенности и того и другого как-специфических явлений правовой сферы, но и практическое значение в решении задач повышения эффективности правового регулирования общественных отношений, реализации субъектами права своих потенциальных возможностей146.
ФЗ «О персональных данных» не только не содержит определения субъекта персональных данных, но даже не выделяет четких критериев, позволяющих охарактеризовать его как участника правоотношений (например, с точки зрения возраста, объема правоспособности и дееспособности, гражданства и т.д.). Закон лишь указывает на то, что субъектом персональных данных является физическое лицо, определенное или определяемое на их основании. Последнее обстоятельство делает открытым ряд важных вопросов.
Так, в качестве одного из основных критериев определения возможносіп того или иного субъекта выступать в качестве участника правоотношении традиционно рассматривается возраст. Возрастной критерий влияет на такие важные характеристики лица как объем гражданской дееспособности, деликтоспособность, способность иметь специальные права и т.д.
Однако, несмотря на то, что законом установлены определенные возрастные границы, при наступлении которых лицо вправе реализовывать принадлежащие ему права, очевидным остается факт наличия у лица, не достигшего их, совокупности персональных данных. Возникают закономерные вопросы: каков момент возникновения права на защиту персональных данных (совпадает ли он с моментом возникновения дееспособности гражданина) и вправе ли несовершеннолетний гражданин реализовать его самостоятельно в полной мере?
Проанализируем порядок реализации права на защиту отдельных видов персональных данных, названных ФЗ «О персональных данных».
Так, право на имя, отчество и фамилию гарантировано ст. 19 Гражданского кодекса Российской Федерации, а также ст. 58-59 Семейного кодекса Российской Федерации . Несмотря на то, что Гражданский кодекс Российской Федерации указывает в качестве объекта охраны имя, полученное гражданином при рождении, оно становится охраноспособным в полной мере только после государственной регистрации рождения, заявление о котором должно быть сделано не позднее, чем через месяц после соответствующеі о события. Кроме того, закон предусматривает возможность присвоения ребенку имени в момент составления акта о рождении - в случае, если ребенок был найден или подкинут, - не позднее, чем через семь дней со дня его обнаружения (ст. 16, 18, 19 Федерального закона «Об актах гражданского состояния»).
Безусловно, реализация права на имя (в том числе возможность его защиты) не связана с моментом его возникновения. Статья 150 Гражданского кодекса Российской Федерации лишь уточняет, что право на имя, наряду с иными видами нематериальных благ, неотчуждаемо и непередаваемо иным способом.
Оператор, организующий и (или) осуществляющий обработку персональных данных: понятие и виды
Вторым участником правоотношений в сфере оборота персональных данных является оператор, под которым ФЗ «О персональных данных» понимает государственный или муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных.
При этом «обработкой» персональных данных считаются действия (операции) с персональными данными, включая их сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование и уничтожение.
Статья 5 ФЗ «О персональных данных» устанавливает шесть основных взаимообусловленных принципов обработки персональных данных: 1) законность целей и способов обработки персональных данных и добросовестность; 2) соответствие целей обработки персональных данных целям, заранее определенным и заявленным при их сборе, а также полномочиям оператора; 3) соответствие объема и характера обрабатываемых персональных данных, способов обработки целям обработки; 4) достоверность персональных данных, их достаточность для целей обработки, недопустимость обработки данных, избыточных по отношению к целям, заявленным при их сборе; 5) недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных; 6) хранение персональных данных должно осуществляться в форме, позволяющей определить их субъекта, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Указанные принципы должны применяться при обработке всех видов персональных данных, независимо от правоотношения, в рамках которого производится их обработка — трудового, гражданского, процессуального и пр., и, соответственно, независимо от вида оператора.
Исходя из определения, установленного ФЗ «О персональных данных», оператором считается любое лицо, как юридическое, так и физическое, получившее доступ к чужим персональным данным, которое может даже не осуществлять их обработку, а лишь организовывать этот процесс. Однаїсо именно оператор несет ответственность за законность и качество обработки персональных данных третьих лиц.
Между тем, каждая организация в своей деятельности сталкивается с обработкой информации персонального характера: юридические лица - о сотрудниках, клиентах, контрагентах, потенциальных партнерах и пр.; органы власти, - кроме прочего, о заявителях, лицах, выступающих участниками регулируемых отношений и т.п. Соответственно, все юридические лица, а также органы власти являются субъектами, несущими ответственность за соблюдение режима персональных данных.
Не менее, а скорее, более разнообразными являются виды персональной информации, обрабатываемой любым физическим лицом. Каждый гражданин в течение жизни неизбежно накапливает значительный объем персональных данных других лиц. Безусловно, это не всегда входит в сферу действия ФЗ «О персональных данных», например, если лицо осуществляет обработку персональных данных исключительно для личных или семейных нужд (п. 1 ч. 2 ст.1). Однако категории «личные и семейные нужды» законом не раскрыты. Очевидно, законодатель, вводя их в текст закона, имел в виду использование чужих персональных данных без цели извлечения прибыли, что, впрочем, не исключает возможность получения иных выгод от такого использования (например, укрепление авторитета, улучшение деловой репутации, намерение получить вознаграждение в виде повышения по должности и т.д.).
Обращаясь к зарубежному опыту определения оператора, можно в качестве примера привести Закон Японии «О защите персональної! информации» (2003 г.), который рассматривает в качестве такового только организацию, в распоряжении которой находятся персональные данные 5 тыс. и более сотрудников, используемые для ведения предприниматель с icon деятельности. Если же число сотрудников не достигает указанного предела, такая организация не вправе создавать базы персональных данных. Таким образом, японское законодательство о персональных данных не распространяется на правительственные учреждения, местные органы управления, независимые местные и административные корпорации.
Интересно отметить, что Директива 95/46/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 г. «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных» именует субъекта, определяющего цели и средства обработки персональных данных, «контролер», вводя наряду с ним еще одного субъекта рассматриваемых отношений — «обработчика», т.е. физическое или юридическое лицо, официальный орган, агентство или иной орган, который обрабатывает персональные данные по поручению контролера. Введение такого дополнительного субъекта правоотношений представляется вполне оправданным и обоснованным ввиду того, что сам оператор не всегда обладает административными, техническими и/или материальными ресурсами, достаточными для самостоятельного осуществления или организации обработки персональных данных. Российский же ФЗ «О персональных данных» лишь предполагает возможность осуществления обработки персональных данных не самим оператором, а третьим лицом на основании договора (ч. 4 ст. 6), которое, по сути, выполняет функции обработчика.
Похожие диссертации на Правовое регулирование персональных данных в Российской Федерации
