ФОТО: ИТАР-ТАСС |
Вопросом о защите персональных данных (Ф. И. О., место жительства, телефон, биография, доходы, история болезни и т. д.), занесенных в различные информационные базы, депутаты Госдумы впервые озаботились еще два года назад и разработали проект закона "Об информации персонального характера" (см. "Власть" #35 за 2003 год). Новый проект, внесенный правительством, от депутатского почти не отличается, поскольку в основе обоих документов лежит конвенция Совета Европы 1981 года о защите физических лиц при автоматизированной обработке персональных данных.
Согласно проекту, собирать данные о физических лицах вправе органы госвласти и местного самоуправления, а также юридические и физические лица. Цели, для которых собираются сведения, должны быть "законными, предварительно определенными и заявленными", а сами данные "не должны быть избыточными для достижения цели". При этом "субъект персональных данных" (лицо, о котором собирается информация) "самостоятельно принимает решение о предоставлении кому-либо" этих данных. Правда, на практике люди зачастую дают подобное согласие, не подозревая, о чем идет речь. Например, пациент поликлиники вряд ли ощущает себя "субъектом", дающим информацию персонального характера.
Согласие лица требуется не только на передачу данных, но и на их обработку, то есть на любые манипуляции с полученной информацией (занесение ее в базы данных и извлечение оттуда, упорядочение, обновление и т. п.). А это означает, что после вступления закона в силу при каждой передаче кому-либо своих персональных данных россияне должны будут давать письменное согласие на их обработку. Потому что в противном случае даже занесение полученной информации в компьютер, не говоря уже о ее анализе и сортировке, будет незаконным.
Есть, впрочем, и исключения. Данные могут обрабатываться без согласия лица, если это разрешено другим законом — например, если речь идет о выяснении личности (закон "О милиции"), расследовании преступления ("Об оперативно-розыскной деятельности") или судебном процессе (УК и УПК). Персональные данные можно использовать в статистических целях — но с их обязательным обезличиванием. Наконец, обработка частной информации возможна "для защиты жизни и здоровья" самих физлиц. К примеру, паспортные службы могут по просьбе спасателей проанализировать данные о жителях населенного пункта, пострадавшего от наводнения или землетрясения, чтобы выяснить, сколько всего людей могут нуждаться в помощи.
Вместе с тем в законопроекте выделены "особые категории" персональных данных, обработка которых не допускается. В частности, это касается информации о "расовом или этническом происхождении, политических взглядах, сексуальных наклонностях или судимости". Но этот запрет не применяется в целом ряде случаев, описанных в той же статье (см. "Букву закона"). И если какая-нибудь лига сексуальных меньшинств захочет составить полный список своих членов, новый закон этому никак не помешает.
Впрочем, законопроект не дает ответа на главный вопрос: защитит ли он россиян от незаконного распространения информации об их личной жизни. Прежде всего угроза несанкционированной утечки персональных данных исходит от госструктур. Во-первых, многие из них (Пенсионный фонд, налоговые службы, ГИБДД, регистрационные палаты, поликлиники и т. п.) уже собрали богатую информацию о соотечественниках. Во-вторых, любая частная организация, располагающая персональными данными, должна будет регистрировать свою информационную систему в специальном "уполномоченном органе по защите прав субъектов персональных данных". Следовательно, этот орган (по мнению источников "Власти" в Госдуме, им станет Министерство транспорта и связи) фактически получит беспрепятственный и бесплатный доступ во все базы данных — как государственные, так и частные.
При этом теоретические ограничения, которые закон накладывает на держателей персональных данных, на практике могут сработать далеко не всегда. Скажем, в Сбербанке при приеме регулярных платежей раньше требовалась лишь подпись плательщика. Но четыре года назад многие квитанции стали двусторонними: на оборотной стороне появились графы, в которых следовало указывать Ф. И. О. и домашний адрес. А с 20 сентября 2005 года Сбербанк стал требовать от клиентов паспортные данные. Исключение сделано для коммунальных платежей, оплаты услуг связи и расчетов с бюджетами всех уровней. А, например, при внесении платы за детский сад, обучение ребенка в музыкальной школе или вузе паспортные данные обязательны. При этом Сбербанк ссылается на требования закона о противодействии отмыванию преступно нажитых средств. И доказывать, что в "антиотмывочном" законе речь идет лишь о суммах, превышающих 600 тыс. руб., бесполезно: клиента просто не станут обслуживать.
Запросы по этому поводу в Федеральную службу по финансовому мониторингу (которая отслеживает соблюдение банками "антиотмывочного" закона) тоже бесполезны. Ведь, наделив "субъект" правом доступа к информации о самом себе, авторы закона ограничили этот доступ в тех случаях, когда речь идет о данных, "обрабатываемых в целях обороны страны, безопасности государства и охраны правопорядка". А под эту категорию можно при желании подвести даже информацию об оплате детсадов, которые в последнее время рассматриваются как потенциальные объекты атак террористов.
Надеяться на российские суды в этом вопросе тоже вряд ли приходится. За последние пять лет СМИ зафиксировали всего четыре случая возбуждения уголовных или административных дел, связанных с незаконным распространением информации о частной жизни. Но о том, что эти дела закончились вынесением обвинительных приговоров, в прессе не сообщалось.
В этом и есть ключевая слабость законопроекта. Человек, конечно, может отказаться от предоставления персональных данных частному или государственному оператору. Но тогда он просто не получит желаемой услуги — у него не примут ту же плату за детский сад или не продадут SIM-карту для сотового телефона. Столь же негарантированным представляется и право любого лица на "возражение против обработки персональных данных, если они используются оператором в целях политической агитации, рекламных или иных аналогичных целях". Доказать наличие таких целей будет крайне трудно. Скажем, рассылка президентом или депутатом поздравлений по адресам, явно взятым в паспортном столе, выглядит как откровенная агитация. Но любой избирком или суд наверняка придут к выводу, что если в этих письмах не содержится прямого призыва голосовать за конкретного кандидата на конкретных выборах, то к агитации эта акция никакого отношения не имеет.
По тем же причинам слабо верится и в то, что "оператор", уличенный в нарушении закона (скажем, в продаже "на сторону" своих баз данных), как требует новый закон, будет вынужден уничтожить всю собранную к этому моменту информацию. Если в отношении какой-нибудь страховой компании, которая мешает влиятельным конкурентам, такое развитие событий еще можно представить, то, например, ГИБДД или Федеральная таможенная служба, откуда часто "утекают" конфиденциальные сведения, вряд ли понесут "заслуженное наказание". Значит, единственным реальным последствием обсуждения нового закона станет рост предложения на рынке всевозможных информационных баз.
ВИКТОР ХАМРАЕВ, ДМИТРИЙ КАМЫШЕВ
Буква закона
1. Обработка особых категорий персональных данных, касающихся расового или этнического происхождения, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, сексуальных наклонностей или судимости, не допускается, за исключением случаев, установленных ч. 2 и 3 настоящей статьи. 2. Запрет, установленный в ч. 1 настоящей статьи, не применяется в случае, если: 1) субъект персональных данных дал письменное согласие на обработку его персональных данных; 2) обработка персональных данных, относящихся к состоянию здоровья, необходима для защиты жизни и здоровья субъекта персональных данных, иного лица или группы лиц; 3) обработка персональных данных осуществляется для достижения законных целей некоммерческих организаций в случае, если такая обработка имеет место в отношении членов этих организаций, и при условии, что обработанные персональные данные не будут передаваться третьим лицам без согласия субъектов персональных данных; 4) обрабатываются общедоступные персональные данные; 5) обработка персональных данных, относящихся к состоянию здоровья, требуется в медицинских целях лицу, профессионально занимающемуся медицинской деятельностью и обязанному сохранять профессиональную тайну; 6) обработка персональных данных, относящихся к судимости, осуществляется органами госвласти РФ в сфере обороны страны, безопасности государства и охраны правопорядка при соблюдении права на неприкосновенность частной жизни... Цифра закона История вопроса Изнутри Мы уже десять лет ведем сбор и обработку персональных данных в государственной автоматизированной системе "Выборы". И наша система остается, пожалуй, единственной, чья работа полностью регламентирована нормами закона — в данном случае избирательными законами. Поэтому я считаю необходимым установление общих правил для других ведомств, организаций, так или иначе обрабатывающих персональные данные граждан. Исходя из нашего опыта, могу сказать, что многие требования законопроекта совершенно оправданны. Крайне важно, например, обеспечивать обязательную защиту массива конфиденциальных данных. Уполномоченный орган, предусмотренный в проекте, тоже необходим. Но он не должен быть монополистом, от имени которого все информпотоки будет контролировать какой-нибудь старший чиновник. За Предложенный правительством законопроект направлен на защиту прав и интересов граждан. Он предусматривает целый ряд мер, призванных не допустить произвольное использование сведений о частной жизни гражданина. Правительство признает право госорганов и физических лиц на сбор и обработку информации персонального характера. Но при этом совершенно оправданно устанавливается требование о государственной регистрации информационных систем: все должны знать, кто и какого рода информацию о гражданах собирает, как и где ее распространяет. Но с законопроектом предстоит еще всерьез поработать. В нем содержится ряд терминов, которые не использовались ранее в юридической практике. Законодателям предстоит адаптировать их к действующей правовой терминологии. Против Законопроект предоставляет спецслужбам слишком много полномочий. Любой оператор, имеющий доступ к базе персональных данных, обязан без согласия гражданина передавать сведения о нем в органы госвласти, если речь идет о безопасности государства. Но ни один из действующих законов не расшифровывает понятия "безопасность государства". Власти будут трактовать его так, как сочтут нужным. Кроме того, в проекте предлагается создать "уполномоченный орган", который будет надзирать за операторами информационных баз, чтобы те не нарушали право граждан на неприкосновенность частной жизни. Но об ответственности этого "органа" за сохранность и конфиденциальность сведений в проекте не сказано ни слова. Власть сможет получить доступ ко всем существующим базам данных и усилить контроль над собственными гражданами. Мировая практика Особо отмечается, что сбор и хранение персональной информации может осуществляться только с согласия гражданина. Впрочем, это соблюдается не всегда. После событий 11 сентября в большинстве развитых стран правоохранительным органам было разрешено собирать информацию о гражданах для передачи заинтересованным сторонам без учета мнения самих граждан. В Канаде можно собирать информацию без согласия гражданина в тех случаях, когда "получение такого согласия может повредить правдивости получаемой информации или ее доступности", причем собирать информацию и использовать ее в своей работе могут не только правоохранительные органы, но и журналисты. А в США информация личного характера, которую собирают коммерческие структуры, может в некоторых случаях затем передаваться другим коммерческим структурам без согласия клиента, если тот заранее этого не запретил. |