28.11.06

Лев Левинсон

5 июля принят во втором, 8 июля в третьем чтении Федеральный закон (проект N 217352-4) «О персональных данных», внесенный Правительством РФ. Подписан Президентом РФ 27 июля 2006 года (N 152-ФЗ).

Вступает в силу по истечении 180 дней после дня его официального опубликования, т.е. 24 января 2007 года.

В редакции первого чтения проект анализировался в 91 (комментарий Сергея Смирнова и Ольги Кочевой) и 93 (комментарий Льва Левинсона) выпусках бюллетеня.

Ко второму чтению с подачи Президента РФ из проекта было исключено предусматривавшееся первоначально создание, для управленческих удобств, всеобъемлющего государственного регистра населения. Спасибо за это следует сказать православным активистам, сподвигшим обычно вялую Патриархию выступить против электронного досье. Хотя от самой идеи накопления суммарной информации по каждому индивидууму власть не отказалась, регистр отложен до более проходного момента. Данным законом его создание впрямую не предусматривается, однако предопределяется в будущем: согласно статье 13, единый регистр «может быть создан». Статус его и порядок работы с ним «устанавливаются федеральным законом». Это может быть как специальный закон, так и поправки в закон «О персональных данных», способные возникнуть когда угодно. Но, в любом случае, для легализации регистра населения необходим еще один законотворческий шаг. И то хорошо.

Как и следовало ожидать, в ответ на стояния верующих против «нумеризации личности» в законе появилось нечто обтекаемое и малосодержательное, а именно – положение о недопустимости использования «оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных». Понимать под этим можно разное, в зависимости от точки зрения. Верующие, наверное, должны понимать так, что уж в государственных-то перечнях под номером 666 никто православный посчитан не будет.

Заслуживает одобрения выделенный в отдельную статью 16 запрет принятия решений, порождающих юридические последствия для человека или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных. Хотя с письменного согласия субъекта такое решение может быть принято, от оператора, если он прибегает к такому порядку принятия решения, требуется соблюсти права и законные интересы человека, разъяснить особенности процедуры, предоставить возможность заявить возражение против «компьютерного решения». Эти ограничения призваны препятствовать переходу к тотальному автоматизированному управлению, прежде всего в части принятия решений, касающихся конкретных людей. Аргументом в пользу компьютерного управления служат, обычно, антикоррупционные соображения. Представляется, однако, что преодоление и минимизацию коррупции лучше искать на пути улучшения качества власти, реального гражданского контроля за бюрократией, а не путем передачи власти машинам. Тем более, что машина обработает только то, что будет в нее заложено. 

Принципы обработки персональных данных сформулированы применительно к практическим задачам защиты приватности и выглядят вполне прилично. Согласно статье 5 закона, «обработка персональных данных должна осуществляться на основе принципов:

1) законности целей и способов обработки персональных данных и добросовестности;

2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных».

Последний из принципов призван сдерживать энтузиазм проводников единого государственного регистра.

Согласно части 2 той же статьи, «хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и подлежат уничтожению по достижении целей обработки или утраты необходимости в их достижении».

Хотя последнее сформулировано не в полном соответствии с правилами русской речи, всё это крайне важные принципы. Но на них накладывается одна из ключевых норм закона – часть 1 статьи 6, допускающая, с некоторыми оговорками, обработку персональных данных только с согласия конкретных лиц – субъектов персональных данных. Отсюда – серьезные недоумения.

Отмененный с 9 августа 2006 года Федеральный закон 1995 года «Об информации, информатизации и защите информации» в статье 11 разделял два правовых режима – защиты частной жизни и защиты персональных данных. Не допускались сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения. Применительно же к персональным данным устанавливался режим конфиденциальности, запрещалось их использование в целях причинения имущественного и морального вреда гражданам, затруднения реализации их прав и свобод, однако требование получения согласия граждан на обработку данных отсутствовало.

Комментируемый закон смешал конституционные и конвенциональные гарантии, касающиеся различных защищаемых ценностей. Как следует из статьи 2, его целью «является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну». И далее о защите частной жизни в законе ничего не говорится.

Но целям защиты личности и общественным интересам отвечало бы разграничение защитного инструментария. Очевидно, что при публикации фамилии, имени, отчества и рода занятий не происходит, как правило, вмешательства в частную жизнь, в отличие от случаев прямых посягательств на семейную и личную тайну.

Соотнесение требования обязательного согласия субъекта на обработку его данных с понятийным аппаратом закона превращает этот вроде бы правозащитный по замыслу документ в весьма проблемный. 

Трудности возникают уже на уровне определения персональных данных. Конституция РФ не знает такого понятия. Конституция защищает частную жизнь и запрещает сбор, хранение, использование и распространение информации о ней без согласия человека (статья 24). Персональные данные – термин международного права, закрепленный в Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, ратифицированной Федеральным законом от 19 декабря 2005 года N 160-ФЗ. Конвенция определяет персональные данные крайне общо как «информацию, касающуюся конкретного или могущего быть идентифицированным лица», гарантирует их надлежащую охрану, законную обработку, ограничение доступа к таким данным, но не содержит запрета на сбор, хранение, использование и распространение персональных данных без согласия соответствующего лица.

Комментируемый закон, как веником, заметает под понятие «персональные данные» любую информацию, относящуюся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), даже если на основании такой информации можно сделать единственный вывод – да, живет в городе таком-то Петр Иванович Бобчинский. К защищаемым данным отнесены «фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация». Все это закон берется защищать как частную жизнь.

Излишне широко и определение оператора. Это «государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных» (статья 3). Такое определение автоматически превращает в оператора любое физическое лицо, если оно хотя бы однажды осуществляло обработку персональных данных другого лица не для личных и семейных нужд, а, например, по просьбе другого лица или по иному случаю. Например, студенту может быть поручено составить список желающих играть в институтском театре с указанием их контактных данных. Студент, в смысле закона, превращается в оператора и, согласно нормам закона, вынужден либо получить от включаемых в список лиц письменное согласие на общедоступность их данных, либо уведомить о себе «уполномоченный орган по защите прав субъектов персональных данных» и вступить с этим органом в продолжительную и занудную связь.

Неточность определения оператора порождает и противоположные последствия. Действительно, оператор во многих случаях в рамках, установленных законом, определяет цели и объем обработки данных. Но по целому ряду действий с персональными данными он не вправе самостоятельно определять их цели и содержание, будучи обязанным действовать в строгих рамках законных предписаний. Определять оператора через такой признак (лицо, определяющее цели и содержание обработки персональных данных) было недопустимой ошибкой, если не намеренным размыванием полномочий. Так как в данном случае дается определение, дальнейшие нормы не снимают выводимого из него расширительного толкования прав оператора.

Следует также иметь в виду определение общедоступных персональных данных. Таковыми признаются «данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности». При этом, согласно статье 8 закона, включение персональных данных в общедоступные источники возможно только с письменного согласия соответствующего лица.

Совокупность определений персональных данных, оператора и общедоступной информации, в сочетании с иными нормами закона может привести к ситуации, когда цели защиты персональных данных будут вступать в противоречие с другими общественными ценностями.

Так, допуская в статье 6 использование журналистами персональных данных, не согласованное с их субъектами, при весьма туманном условии – если «при этом не нарушаются права и свободы» «раскрываемых» лиц – законодатель загоняет СМИ в ловушку непредсказуемости. Так как само по себе нарушение личной и семейной тайны есть нарушение конституционного права, использование без согласия человека информации о нем всегда может быть интерпретировано – следуя применяемому законом смешению персональных данных и информации о частной жизни – как нарушение прав человека. Достаточно любому желающему заявить о нарушении журналистом своей приватности.

Эта коллизия касается литераторов и других творческих и научных деятелей, поставленных перед неразрешимым вопросом, может ли быть расценено использование ими каких-либо документальных сведений о конкретных людях как нарушение «прав и свобод» и, следовательно, нарушение закона. Документальное кино, художественная фотография оказываются в зоне риска.

Еще туманнее дело обстоит с использованием личных данных в научных целях. В пункте 3 части 2 статьи 6 в качестве исключения из общего правила согласия субъекта персональных данных на их обработку указываются случаи, когда «обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных». Однако следом, в пункте 6, говорится о допустимости несогласованной обработки, если таковая «осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных». Из сопоставления этих пунктов неясно, требуется ли при обработке данных в научных целях обезличивание данных либо достаточно, если при этом не будут нарушены права человека. Ведь если для статистических целей предпочтительно использование обезличенной информации, то научные исследования в широком смысле иногда нуждаются в точных сведениях о конкретных людях, особенно применительно к истории, политологии, литературоведению и иным гуманитарным дисциплинам.

Весьма часто человек может не возражать против обработки его персональных данных для включения их в общедоступные источники (справочники, адресные книги). Однако закон обязывает его давать на это письменное согласие по достаточно сложной форме, которая, с одной стороны, затруднительна для самостоятельного ее составления, с другой, будучи используемой как типовой документ, дает возможность включения в нее юридических тонкостей/двусмысленностей, неразличимых обывателем. Выходом из этой ситуации, в частности, при составлении справочников, могла бы быть презумпция согласия на публикацию данных при заблаговременном информировании граждан о предполагаемом издании и разъяснении права отказаться от публикации данных о себе и порядка заявления такого отказа.

Избыточны и трудноисполнимы отдельные ограничения, относящиеся к специальным категориям персональных данных, в частности – религиозным и философским убеждениям. Согласно пункту 5 части 2 статьи 10, обработка персональных данных членов (участников) общественного объединения или религиозной организации может осуществляться «соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных». Такое навязывание религиозным общинам порядка внутриобщинных отношений есть грубое вмешательство в их самостоятельность, что может быть, к примеру, совершенно неприемлемо применительно к отношениям в монашеской среде. При таком условии церквям впору отбирать письменное согласие у всех членов общины, поскольку могут возникать различные ситуации, при которых религиозная организация столкнется с запретом идентификации личности (например, передавая транспортному агентству данные совершающих хадж). Академик Виталий Гинзбург – член Атеистического общества Москвы. Согласно закону, для того, чтобы объявить где-либо публично, что академик является атеистом, представители общества должны заручиться его письменным согласием, содержащим множество ненужных подробностей, включая срок, на который дается такое разрешение. 

Не больше ясности с персональными данными умерших.

Так, покойный мог никак не выразить своей воли относительно публикации сведений о себе, например, в списке репрессированных, или ветеранов КГБ, или пострадавших при аварии. Наследники же по тем или иным соображениям считают такую публикацию нежелательной. Следует ли из этого, что для любого опубликования таких материалов необходимо согласие наследников? По закону, да, требуется. Не говоря уже о том, что выявление наследников может представлять отдельную трудность. 

Еще большее недоумение вызывает отсутствие какой-либо законной возможности обрабатывать персональные данные специальной категории, если они касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни умерших, в том числе давно умерших, людей.

Бессмысленным представляется предписание части 4 статьи 21, в соответствии с которым в случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить их обработку и уничтожить соответствующие данные, а также уведомить об этом субъекта персональных данных. Кто определяет «достижение цели»? И зачем уведомлять об этом всех субъектов, если таковых были тысячи и десятки тысяч? 

Проблема закона не только в безразмерных и неразборчивых ограничениях оборота информации, но и в прямо противоположном – в легализации сомнительных манипуляций с данными о личности.

Закон допускает обработку данных о расовой, национальной принадлежности, политических, религиозных и философских взглядах, состоянии здоровья, интимной жизни «в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством». Можно предположить, что при выявлении маньяка-убийцы могут быть использованы данные о состоящих на психиатрическом учете. Но расовая принадлежность, не говоря уже о политических и мировоззренческих пристрастиях, независимо ни от какого законодательства не должны интересовать органы. То, что закреплено в законе – это политический сыск.

Чревато появлением правил, незаконно ограничивающих права субъектов персональных данных, допущение регулирования неких «особенностей» обработки данных, осуществляемой без использования средств автоматизации, «иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона». Формула «с учетом положений» не несет той обязательности, которая вытекает из применяемых в таких случаях в нормальных законах императивных конструкций «на основании» или «в соответствии».

Как уже указывалось в аналитических материалах, публиковавшихся к первому чтению проекта, трансграничная передача персональных данных – одна из основных его проблем. Упрощение трансграничной передачи – основная рабочая цель упомянутой Конвенции. В полном соответствии с международным правом перетеканию личных данных за границу закон предоставляет зеленый коридор. Единственное условие, обозначенное в статье 12, – обеспечение адекватной защиты персональных данных иностранным государством, на территорию которого осуществляется их передача. Определять достаточность такой защиты будет оператор – каким образом, неизвестно.

С другой стороны, указывается, что трансграничная передача «может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства». Такая оговорка для данного случая представляется совершенно неподходящей. Закон почти дословно воспроизводит здесь формулировку части 3 статьи 55 Конституции, устанавливающей допустимые основания ограничения прав человека федеральным законом. Но перечисление в Конституции этих оснований лишь указывает законодателю, чем могут быть оправданы определенные в законе ограничения прав. Повторять в законе конституционную мантру бессмысленно. В законе должна содержаться не цитата из Конституции, а основанные на ее допущениях пределы, порядок, условия осуществления некоторого ограничения прав. В случае же рассматриваемого закона никакого регулирования не вводится – под конституционным покрывалом ограничение прав отдается на усмотрение правоприменителя. Закон умалчивает, кем, в каком порядке и объеме, при наступлении каких обстоятельств и в каком соотнесении с международными обязательствами может быть запрещена или ограничена трансграничная передача данных. Данная норма – узаконенное оправдание произвола. Так, например, на ее основании можно законным, но неправовым образом запретить почтовые сообщения с государством, в котором власть ведет себя не так, как то угодно российскому руководству.

  Как и следовало ожидать, явления независимого уполномоченного органа по защите прав субъектов персональных данных не состоялось (в комментарии к законопроекту первого чтения, подготовленном С.Смирновым и О.Кочевой тема специального органа рассматривается подробно; см. 91 выпуск бюллетеня). В последний момент, при рассмотрении проекта во втором чтении, помимо таблиц поправок, одобренных Комитетом по конституционному законодательству и государственному строительству, депутатом Владиславом Резником (ЕР) была вброшена и принята Думой дополнительная поправка о признании уполномоченным органом федерального ведомства (согласно поправке – федерального органа исполнительной власти, осуществляющего функции по контролю и надзору в сфере информационных технологий и связи). Таковым органом является Россвязьнадзор – федеральная служба, подведомственная Минсвязи.

Ранее регулирование, связанное с персональными данными, осуществлялось, хотя и не во всей полноте, Федеральным законом «Об информации, информатизации и защите информации», прекратившем действие в августе 2006 года – со дня вступления в силу Федерального закона от 27 июля 2006 года N 149-ФЗ «Об информации, информационных технологиях и о защите информации», в котором новелл, касающихся персональных данных, нет. Новый же закон «О персональных данных» вступает в силу 24 января 2007 года. Таким образом, в течение полугода защита персональных данных в РФ не обеспечивается никак. Можно расслабиться.

Обозначенные выше сомнительные нормы закона не перечеркивают его позитивного содержания. Велики, однако, опасения, что при всех прописанных в законе красивых принципах, использовать его будут против неугодных или конкурирующих операторов в самых различных сферах деятельности (подловить любого, имеющего дело с информацией, теперь ничего не стоит), а также против неугодных журналистов, писателей и кинорежиссеров, против ученых. Для последних, кроме государственной тайны, возникла еще и угроза разглашения (незаконной обработки) персональных данных.

Источник http://ikd.ru

Постоянный адрес новости http://ikd.ru/Campaign/politrights/Article.2006-11-27.5691