Системы защиты информации в ведущих зарубежных странах. Ч. 2

111

информации, касающейся собственности. Кстати, на некоторых сайтах используются специальные технологии для контроля за операциями, производимыми пользователями. Так, многочисленные сайты дают возможность распечатывать страницы, но запрещают команды «вырезать», «вставить» и «сохранить как».

В Великобритании журналисты через компанию «Бай Лайн» при авторском обществе по лицензированию и коллективному управлению взяли инициативу в свои руки, определив права в отношении Интернета и мультимедийного материала. Такие общества были созданы из-за возникающих разногласий между издателями и авторами по поводу управления правами в сфере электронных изданий. Газетные издатели организовали собственное агентство – газетное лицензионное агентство, чтобы регулировать вопросы о вторичном использовании газетного материала. В Великобритании вполне возможно приобрести все права фотографа (даже неимущественные).

Таким образом, система охраны авторского права в Великобритании позволяет осуществлять практическое выполнение положений национального законодательства об авторском праве. Однако предупредительные меры уступают мерам пресечения нарушений и восстановления справедливости, что достигается проведением судебных разбирательств, привлечением нарушителей к уголовной ответственности, возмещением убытков авторам, конфискацией контрафактных копий.

6.7. Система организационно-правового обеспечения защиты персональных данных

6.7.1. Законодательная база обеспечения защиты персональных данных

Во многих странах персональные данные (сведения о лицах, которых можно идентифицировать по ним) подпадают под законодательство о защите информации.

Регулирование защиты персональных данных в Великобритании, основанное на национальных нормативных правовых актах, реализовалось только в начале 80-х годов XX в. При создании подобных документов использовался опыт зарубежных стран и международных союзов.

Современный международный стандарт права на неприкосновенность частной жизни установлен в 1948 г. Всеобщей декларацией

112

прав человека, предусматривающей защиту частной территории и частного общения. Декларация также признает, что люди имеют право на юридическую защиту против вторжения в частную жизнь.

Интерес к праву на неприкосновенность частной жизни возрос в 1960–1970 годах с появлением информационных технологий. Потенциальные возможности наблюдения за гражданами с использованием мощных компьютерных систем породили спрос на определенные правила, регулирующие сбор и обработку персональной информации. Происхождение современного законодательства в этой области восходит к первому в мире закону о защите данных, принятом в Германии в 1970 г. Затем последовали национальные законы в Швеции (1973), Соединенных Штатах (1974), Франции (1978). На сегодняшний день большинство стран во всем мире имеют законы, защищающие право на защиту персональной информации в том или ином аспекте.

Еще в 1970-х годах Организацией по экономическому сотрудничеству и развитию (OECD) были разработаны законы о защите персональной информации. В 1978 г. OECD обратилась к проблеме дивергенции национальных законов в этой области, для чего была учреждена экспертная группа. Ее задачей была разработка базовых руководящих принципов защиты персональных данных в связи с их обработкой и трансграничными потоками данных. По итогам двухлетней работы экспертной группы OECD приняла рекомендации в отношении руководящих принципов по защите неприкосновенности частной жизни и трансграничных потоков персональных данных. Сами руководящие принципы OECD были оформлены как приложение к этим рекомендациям и сопровождались специальным пояснительным меморандумом, разъяснявшим причины, лежащие в основе их формулировок.

Говоря о значении руководящих принципов OECD, нельзя не отметить, что их создатели предугадали большое будущее корпоративных средств саморегулирования – отраслевых и корпоративных кодексов практики. С помощью принципов достигались следующие цели:

– достижение странами-участницами определенных минимальных стандартов защиты персональных данных и индивидуальных свобод по отношению к ним;

113

–уменьшение различий между национальными положениями стран-участниц;

–гарантии того, что при защите персональных данных будут приниматься во внимание интересы других стран-участниц, а также гарантии избежания ненадлежащего вмешательства стран-участниц;

–устранение причин, ограничивающих или запрещающих трансграничные потоки персональных данных из-за возможных рисков, порождаемые такими потоками.

Совет Европы сыграл важную роль в формировании европейского законодательства и международных норм, относящихся к персональным данным, и всегда был активен в области прав человека, в том числе прáва человека на невмешательство в сферу его частной жизни. Была учреждена постоянно действующая комиссия и Суд по правам человека, к которым может обращаться любой индивидуум по вопросам нарушения прав человека государствами, утвердившими Европейскую конвенцию по правам человека.

Первая Европейская конвенция о защите прав человека была принята Советом Европы в 1950 г. В ней содержались две ключевые статьи, устанавливающие баланс между интересами защиты данных индивидуума и свободой потоков данных. В 1973–1974 гг. комитет министров Совета Европы принял резолюции, призывающие правительства стран–участниц предпринять меры по защите приватности и конфиденциальности персональных данных в публичном и частных секторах. Необходимость создания международного соглашения относительно защиты персональных данных была вызвана разногласиями по данному вопросу стран-участниц. Каждое государство посвоему понимало понятия данных и неприкосновенности частной жизни, что вызывало необходимость гармонизации состояния национальных законов стран–участниц. Поэтому в 1981 г. Совет Европы принял конвенцию № 108 «О защите личности по отношению к автоматизированной обработке персональных данных». По условиям этой конвенции подписавшие и утвердившие ее государства обязывались принять или изменить национальные законы в соответствии с принципами данной конвенции.

Статья 2 конвенции определяет понятие «персональные данные» как любую информацию, относящуюся к некоему идентифицированному или доступному для идентификации индивидууму (субъекту данных). Причем положения конвенции могут применяться к персо-

114

нальным данным, которые подлежат и не подлежат автоматизированной обработке.

Главными составляющими конвенции являются:

–базовые принципы защиты данных – принципы качества данных

иправа субъекта данных. Особо строгое предписание к «чувствительным» данным. Допускается расширение перечня «особо чувствительных» данных в национальных законодательствах стран–участ- ниц;

–положения о транснациональных потоках данных. Предусматривается свободное течение персональных данных между странами – участницами конвенции, которое не может быть ограничено по причине защиты данных. Исключения: если защита персональных данных в стране не является эквивалентной; если данные, передаваемые на территорию страны, предназначены для передачи транзитом в третью страну, которая не является участницей конвенции;

–положения о сотрудничестве стран–участниц (в том числе соглашение о содействии субъектам данных, проживающим за границей); обязанность учредить национальный орган по защите данных;

–учреждение постоянного консультативного комитета, состоящего из делегатов от стран–участниц, который содействует и улучшает применение конвенции на практике.

Кнастоящему времени комитет министров Совета Европы принял следующие рекомендации в рамках реализации Конвенции № 108:

–рекомендация № R (81) 1 от 23 января 1981 г. об общих правилах для автоматизированных банков медицинских данных;

–рекомендация № R (83) 10 от 23 сентября 1983 г. о персональных данных, используемых для научных исследований и статистики;

–рекомендация № R (86) 1 от 23 января 1986 г. о персональных данных, используемых для целей социального обеспечения;

–рекомендация № R (87) 15 от 17 сентября 1987 г., регламентирующая использование персональных данных полицейскими властями;

–рекомендация № R (89) 2 от 18 января 1989 г. о защите персональных данных, используемых в целях трудоустройства;

–рекомендация № R (90) 19 от 13 сентября 1990 г. о защите персональных данных, используемых для платежей и связанных с ними операций;

115

–рекомендация № R (91) 10 от 9 сентября 1991 г. о сообщении третьим сторонам персональных данных, хранимых общественными организациями;

–рекомендация № R (95) 4 о защите персональных данных в области телекоммуникационных услуг, с конкретными ссылками на телефонные услуги;

–рекомендация № R (2000) 2 от 19 января 2000 г. по пересмотру дел и возобновлению производства по делу на внутригосударственном уровне в связи с решениями Европейского суда по правам человека;

–рекомендация № R (2004) 5 от 12 мая 2004 г. о проверке совместимости законопроектов, действующих законов и правоприменительной практики со стандартами, установленными Европейской конвенцией о правах человека;

–рекомендация № R (2004) 6 от 12 мая 2004 г. о повышении эффективности внутренних средств правовой защиты.

В Великобритании действует закон «О защите данных» 1984 г. Закон был разработан для того, чтобы Великобритания могла гарантировать выполнение конвенции № 108 «О защите личности по отношению к автоматизированной обработке персональных данных». Этим законом были введены новые правила для граждан, которых касалась данная информация, а также создана должность независимого инспектора (регистратора) по защите данных, который подчинялся непосредственно парламенту. На него была возложена обязанность по осуществлению закона и наблюдению за его соблюдением.

Немаловажную роль в защите персональных данных сыграла деятельность Европейского Союза. Важным шагом стало принятие Европейским Союзом директив о защите данных в 1995 г. и 1997 г. с целью гармонизации законодательства внутри ЕС и гарантирования определенного уровня защиты для граждан, учитывая свободный поток персональной информации внутри ЕС. Директивы устанавливают базовый уровень права на неприкосновенность частной жизни, который не только утверждает существующее законодательство о защите данных, но и расширяет его путем установления новых прав. Директива «О защите персональных данных» (95/46/ЕС), вступившая в силу в октябре 1998 г., устанавливает стандарт для национального законодательства об обработке, хранении и использовании персональной информации в электронном и бумажном виде. Директива «Об обра-

116

ботке персональных данных и защите частных интересов в области телекоммуникаций» 1997 г. (97/66/ЕС) установила требования к защите информации в телефонных, цифровых телевизионных, мобильных сетях и в других телекоммуникационных системах.

Ключевая концепция ЕС – создание реальных механизмов защиты права на неприкосновенность частной жизни. ЕС признает, что граждане имеют определенные права, которые четко зафиксированы в законодательстве. Кроме того, граждане должны иметь возможность обратиться к лицу или органу, уполномоченному защищать интересы граждан в этой сфере. Каждая страна ЕС имеет специального уполномоченного по защите данных или специальное агентство, надзирающее за соблюдением законодательства в этой сфере. Ожидается, что страны, с которыми Европа поддерживает деловые отношения, смогут обеспечить такой же уровень контроля за соблюдением этого права. Директива обязывает государств – участников ЕС гарантировать, что персональная информация о гражданах ЕС имеет такой же уровень защиты в случаях, когда она экспортируется или обрабатывается вне Европейского Союза.

Новая европейская директива защиты данных потребовала провести реформирование существующего законодательства в Великобритании в области защиты данных. В Великобритании конкретным ответом на директиву стало принятие в 1998 г. закона «О защите данных» (DPA), который представляет собой измененный закон «О защите персональных данных» 1984 г. В полном объеме он вступил в силу в октябре 2001 г. и внес ряд весьма существенных изменений в ранее действовавший закон. В частности, действие закона распространено и на нецифровые материалы, например на папки с личными делами, карточки-указатели, микрофильмы, видеоколлекции. Цель принятия DPA – обеспечить строгие и ясные правила обращения, в частности обработки персональных данных, относящихся к любой личности. Закон распространяется на данные, хранящиеся в государственных и частных структурах. Он устанавливает ограничения на использование персональной информации, предоставляет доступ к персональным данным и возможность их исправления, а также предписывает, чтобы организации, ведущие архивы, регистрировались в офисе уполномоченного по информации.

Под персональными данными здесь понимается как фактографическая информация (имена, адреса и т.п.), так и информация, содер-

117

жащая оценки конкретной личности, какие-либо мнения о ней, а также содержащая изложение намерений каких-то действий по отношению к этой личности. Под обработкой информации в DPA понимается очень широкий набор возможных действий, включая получение, сортировку, копирование, обнародование и даже размещение (хранение) данных. Имеются и дополнительные ограничения, касающиеся работы с требующей особого обращения («чувствительной») персональной информацией, например расового, этнического или политического характера. И, наконец, DPA содержит очень серьезные гарантии и предоставляет большие права субъектам записей персонального характера (тем личностям, информация о которых собирается). В установленном законом праве лицо может потребовать показать ему, что записано в базе данных именно о нем – и во многих случаях запретить любую обработку этого материала, в том числе для целей рекламы. Кроме того, он имеет право преследовать по закону (и в уголовном порядке) тех операторов баз персональных данных (закон называет их контролерами баз данных), кто своими действиями или бездействием нанес ему урон или ущерб при ненадлежащей работе с базами персональных данных. Имеются и исключения из этих правил, например, если речь идет о персональных данных, связанных с национальной безопасностью, или о предотвращении либо раскрытии уголовного преступления, или о данных, необходимых для исчисления и взимания налога, а также если данные собираются, а соответствующая информация публикуется в журналистских, литературных или художественных целях.

Воктябре 2000 г. уполномоченный по информации выпустил проект руководства по взаимоотношениям между работодателями и работниками. В марте 2002 г. вышла первая часть этого кодекса – по защите персональных данных при наборе персонала и найме сотрудников. Вторая часть – по наблюдению на рабочих местах – была предложена для общественного обсуждения в апреле 2002 г. Две следующие части (по кадровым данным, персональной информации медицинского характера и по тестированию сотрудников) были подготовлены в течение следующих месяцев.

Виюле 2000 г. ЕС предложил новую директиву по обработке персональных данных и защите персональной информации в сфере электронных коммуникаций. Она заменила существующую директиву

отелекоммуникациях 1997 г., распространив имеющиеся положения

118

по защите прав индивидуума не только на сферу телекоммуникаций, но и на более широкую сферу электронных коммуникаций. Эти новые положения, например, гарантировали защиту всей информации, передаваемой через Интернет, запрещали незапрашиваемую электронную коммерческую информацию, защищали пользователей мобильных телефонов от точного прослеживания их местоположения. Директива также дает подписчикам всех электронных услуг (типа GSM и электронной почты) право выбора, вносить ли свои адреса в общедоступные справочники или нет.

Следует отметить, что Совет Европы и Евросоюз осуществляют развитие международного законодательства по регулированию отношений с персональными данными параллельно, что проявилось, например, в выработке консультативным комитетом по конвенции № 108 типовых договорных положений в 1992 г. Эти положения призваны обеспечить защиту персональных данных, а также передаваться публичной или частной организацией из страны, ратифицировавшей конвенцию № 108, в страны, которые не приняли ее. Поддерживание и использование этих типовых положений осуществляет Совет Европы, комиссия ЕС и Международная торговая палата, позднее к ним присоединилась Организация экономического сотрудничества и развития. Предполагается применять типовые положения национальными органами в тех случаях, когда иным решением могло бы быть запрещение или ограничение передачи данных.

Международная торговая палата следит за инициативами международных организаций в области правового регулирования трансграничных потоков персональных данных. Она уполномочена международными деловыми кругами на координацию лоббирования этих международных инициатив в нужном для бизнеса направлении. Для пропаганды позиций международного бизнеса Международная торговая палата выпустила документ «Защита персональных данных. Точка зрения международного бизнеса», в котором анализируются руководящие принципы OECD, директива № 108 Совета Европы и проект директивы ЕС о защите персональных данных. В 1981 г. Международная торговая палата учредила комиссию по политике в области компьютеризации, телекоммуникаций и информации, а также рабочую группу по защите данных.

Отношение международного бизнес-сообщества к защите персональных данных базируется на следующих принципах:

119

–важность защиты персональной информации, включая защиту против ненадлежащего использования подобной информации;

–важность эффективного обмена информацией в развитии современной международной торговли и коммерции;

–необходимость признания зависимости современных коммуникаций от трансграничных потоков данных;

–необходимость гармонизировать средства и меры правовой защиты персональных данных и неприкосновенности частной жизни на международной основе таким образом, чтобы избежать создания барьеров для международного обмена информацией.

Есть ряд других законов, которые содержат статьи, относящиеся к защите приватности, прежде всего, в сферах медицинских персональных данных и потребительских кредитов. К законам, в которых содержатся положения о защите приватности, следует отнести законы «О реабилитации правонарушителей» 1974 г., «О полиции» 1997 г., «О вещании» 1996 г. (часть VI), а также «О защите от домогательств» 1997 г. Некоторые из этих законов были изменены или частично отменены законом «О защите персональных данных» 1998 г.

Ситуация с приватностью в Великобритании отличается дуализмом. С одной стороны, существует глубокое общественное понимание важности и защиты приватности; с другой – законы о борьбе с преступностью и общественными беспорядками, принятые в последние годы, налагают существенные ограничения на целый ряд прав, в том числе право собраний, приватности, свободы передвижения, право не свидетельствовать против самого себя, а также на свободу слова.

В связи с тем, что Великобритания является участницей многих международных организаций, ее национальное законодательство находится в зависимости от результатов деятельности и принимаемых положений международных сообществ. Изучение развития законодательства по вопросам защиты персональных данных подтверждает этот факт, что, в свою очередь, обеспечивает унификацию правил взаимоотношения иностранных государств по данному вопросу и исключает возникновение спорных ситуаций. Для Великобритании это имеет положительное значение в связи с накоплением опыта в вопросах урегулирования интересов государства и индивидуальных интересов личности.

120

6.7.2. Субъекты и объекты защиты персональных данных

Прежде чем подходить к вопросам защиты персональных данных, необходимо четко определить, что защищать, чьи интересы может затронуть нарушение законодательных принципов защиты, кто является потенциальным или реальным субъектом нарушений, т.е. определить, что есть в данном вопросе объект и субъект защиты, а также определить их основные правомочия, требования к ним.

Объектом защиты выступают данные, полученные в результате обработки на ЭВМ или подготавливаемые в специальную форму для такой обработки. Но не все данные имеются в виду в данном случае. Речь идет о персональных данных, т.е. об информации о физическом лице, которое может быть идентифицировано с помощью такой информации. Основные категории в британском законодательстве – расовая принадлежность, политические, религиозные и другие убеждения, физическое и психическое здоровье, половая жизнь, привлечение к уголовной ответственности. Причины специального выделения категории персональных данных связаны с тем, что персональные данные являются потенциально уязвимыми составляющими частной жизни человека. Персональные данные необходимо защищать не изза их какой-то абстрактной особенности, а в силу того, что они наиболее близко связаны с конкретным человеком, его интересами и его частной жизнью. Таким образом, персональные данные относятся к чувствительным персонифицированным данным, циркуляцию которых субъект данных старается ограничить, на что у него есть все права и основания. Ненадлежащее использование подобных данных приводит к посягательствам на права частной жизни индивидуума.

Британское определение персональных данных является более интересным по сравнению с национальными законодательствами других государств. Связано это с тем, что законом «О защите данных» 1984 г. вводятся дополнительные категории – «мнение» и «намерение». В частности, в термин «персональные данные» включается любое выражение мнения о лице, но без какого-либо указания о намерениях пользователя данных в отношении этого лица (любое мнение включается в состав персональных данных, а любое указание на намерение пользователя данных исключается из данной категории).

Другой особенностью британского определения является оговорка, что лицо может быть идентифицировано «с помощью этой или иной информации, находящейся в распоряжении пользователя дан-