Борзунов К.К. Системы защиты информации в ведущих зарубежных странах Ч. 1

111

законных требований к защите своих данных. Субъект персональных данных заинтересован в их защите в силу того, что они затрагивают его самого и являются мерилом степени риска, который потенциально может иметь место при ненадлежащем обращении с его персонифицированными сведениями, обрабатываемыми автоматизировано третьими лицами.

Закон «О неприкосновенности частной жизни» устанавливает следующие требования к федеральным ведомствам при их работе с документами, содержащими персональные данные:

1.Каждое ведомство должно установить порядок ознакомления отдельными гражданами с касающимися их лично документами и копирования их.

2.Ведомства должны публиковать описания всех имеющихся систем документации, что предотвращает ведение секретных баз данных.

3.Ведомства должны прилагать достаточные усилия к тому, чтобы документация об отдельных гражданах была точной, имеющей отношение к делу, своевременной и полной. Ведомствам запрещено собирать и хранить данные, которые отражают реализацию гражданином своих политических прав и свобод, а также информацию, относящуюся к деятельности правоприменительных органов.

4.Закон устанавливает правила использования и раскрытия личной информации. В частности, информация, собранная в одних целях, не может быть использована в других целях без уведомления или согласия субъекта документа. Закон также требует от ведомств вести частичную регистрацию выдачи документов, содержащих личную информацию.

5.Закон предусматривает средства правовой защиты, позволяющие отдельным гражданам добиваться осуществления прав, предоставленных этим законом. Кроме того, федеральные служащие, не выполняющие требования закона, могут быть привлечены к уголовной ответственности.

Для получения от частного лица согласия на обработку его персональных данных ему направляется письмо-запрос от имени руководителя ведомства, в котором указываются:

−нормативный акт, на основе которого собирается информация;

−обязанность или добровольность ее предоставления;

−главные цели, для которых может быть использована информация;

112

−формы и направления внутриведомственного использования этой информации;

−возможные последствия (если таковые предусмотрены) отказа гражданина предоставить информацию.

По закону учреждение обязано обеспечить гражданину беспрепятственный доступ к его досье и возможность ознакомиться с ним лично (или в присутствии сопровождающего лица), снять копию с досье или какой-либо его части, ходатайствовать о внесении изменений и дополнений, обжаловать в административном порядке руководителю учреждения отказ в предоставлении информации, о внесении

внее изменений и дополнений.

Согласно закону установлена уголовная ответственность в виде лишения свободы на срок до одного года и штрафа на сумму до

1тыс. долл. за следующие нарушения:

−умышленное разглашение содержания досье с идентифицирующими гражданина данными должностным лицом учреждения, отвечающим за хранение этого досье или имеющим доступ к нему, лицам и учреждениям, которые не имеют законного права на ознакомление с досье;

−умышленное хранение должностным лицом учреждения системы досье без опубликования требуемых законом данных об этой системе;

−умышленное направление запроса о выдаче досье на гражданина или получение такого досье лицом под вымышленным предлогом.

Закон «О неприкосновенности частной жизни» предусматривает свои ограничения на предоставление гражданам личных досье, хранящихся в ЦРУ и правительственных учреждениях, занятых борьбой с преступностью. Также не подлежат выдаче системы документов:

−засекреченные в интересах национальной безопасности или внешней политики;

−касающиеся безопасности президента и других государственных деятелей;

−собираемые исключительно в целях государственной статистики;

−собираемые в ходе проверки кандидатов на должности в правительственном аппарате и в вооруженных силах;

−содержащие данные о результатах проверок в целях определения пригодности для службы в федеральном государственном аппарате или для продвижения по службе;

113

− содержащие материалы, собранные учреждением для использования в гражданском или уголовном деле.

Таким образом, этот закон распространяется только на федеральные ведомства, но принципиальная новизна данного законодательного решения состояла в том, что субъекту персональных данных предоставлялся комплекс правомочий, позволяющих осуществлять превентивный контроль за тем, как используется и кому передается персональная информация.

В1988 г. был принят закон «О компьютерной сверке и охране прав личности», который внес поправки в закон «О неприкосновенности частной жизни», добавив в него некоторые положения, регулирующие применение компьютерной сверки.

Компьютерная сверка – это программа сопоставления информации об отдельных гражданах, проводимая в целях подтверждения их права на получение льгот и пособий по соответствующей федеральной программе. Программа компьютерного сопоставления может подпадать под действие закона «О компьютерной сверке», если в ней используются данные систем документов, на которые распространяется закон «О неприкосновенности частной жизни».

ВСША принят ряд федеральных законов о защите конкретных категорий персональной информации, в том числе книг финансового учета, кредитных ведомостей, журналов учета клиентов фирм, абонентов кабельного телевидения и образовательных программ, регистрационных журналов автовладельцев и абонентов телефонных компаний. Однако такие виды деятельности, как продажа данных медицинского и банковского учета, мониторинг присутствия персонала на рабочих местах и видеонаблюдение за частными лицами, в настоящее время действующим федеральным законодательством не запрещены. В то же время на уровне отдельных штатов для разных сфер деятельности приняты законы, способные создавать дополнительные механизмы защиты для граждан этих штатов. Закон о выплате компенсаций за вторжение в частную жизнь был впервые принят в 1905 г., и все 50 штатов США законодательно признали право граждан подавать судебные иски в случае вмешательства в их частную жизнь.

Контроль за телефонными и электронными коммуникациями со стороны органов, расследующих уголовные дела, осуществляется на основании сводного закона «О борьбе с преступностью и поддержании общественного порядка» (1968) и закона «О неприкосновенности

114

коммуникационных обменов, осуществляемых с помощью электронных средств» (1986). Сотрудник полиции обязан действовать на основе судебного ордера, полученного по его ходатайству, в котором должно быть указано, в связи с каким преступлением предполагается проводить прослушивание. Он должен доказать наличие «достаточного основания» для выдачи ордера, обозначить лицо, переговоры которого предполагается прослушать и указать характер этих переговоров.

С учетом расширения возможностей электронного прослушивания, в 1986 г. конгрессом США было регламентировано наблюдение за «блуждающим объектом». В меморандуме министерства юстиции США, сопровождавшем проект нового закона, говорилось, что закон не содержит точного указания предмета прослушивания и, таким образом, позволяет получать ордер на прослушивание разговоров конкретного лица, а не телефонного аппарата или помещения.

Контроль за коммуникациями в целях обеспечения национальной безопасности осуществляется на основании закона «О наблюдении за деятельностью иностранных разведывательных служб в США» 1978 г., устанавливающего право президента США санкционировать электронное наблюдение в целях добывания информации об иностранной разведывательной деятельности. Для этого не требуется судебного ордера, а достаточно только письменного удостоверения под присягой министра юстиции США о том, что электронное наблюдение не будет направлено против граждан или организаций страны.

На сегодняшний день существует проблема сбора, хранения, обработки и использования персональных данных в Интернете. Можно выделить два главных вопроса в этой области – какой объем персонально идентифицируемой информации собирают операторы сетевых сайтов, и занимаются ли правоохранительные органы или работодатели мониторингом электронной почты и отслеживанием деятельности в Интернете.

В связи с этим в США был разработан закон «О защите персо-

нальной информации в Интернете» («Internet Privacy Protection Act»),

в котором предусмотрен запрет на доступ через Интернет к конфиденциальной информации о гражданах. Более того, согласно принятому в США Акту о соблюдении тайны электронных средств связи

(Electronic Communications Privacy Act) за незаконный перехват или доступ к электронной почте, в том числе в целях доступа к персональным данным, предусмотрена уголовная ответственность в виде тюремного заключения до одного года или штрафа до 10 тыс. долл.

115

Федеральная торговая комиссия предложила четыре «честных информационных подхода», которых должны были придерживаться коммерческие и правительственные сетевые сайты:

−уведомлять пользователей о целях и методах обработки их персональных данных;

−предоставлять пользователям самим решать, будет ли использоваться их личная информация и каким образом;

−разрешать доступ пользователей к собранным данным и предоставлять возможность оспаривать достоверность этих данных;

−обеспечивать безопасность информации от несанкционированного использования.

До лета 2000 г. внимание законодателей было сосредоточено на проблемах конфиденциальности, связанных с коммерческими сетевыми сайтами. Однако все изменилось в июне 2000 г., когда разразилась полемика вокруг защиты частной жизни посетителей правительственных сетевых сайтов. Проблема состояла в использовании федеральными ведомствами компьютерных специальных маркеров или «cookies» (небольших текстовых файлов, помещаемых в компьютеры пользователей, когда они заходят на определенный сетевой сайт) для отслеживания активности на сетевых сайтах этих ведомств. Федеральные ведомства получили директиву от президента Б. Клинтона и службы управления и бюджета привести свою практику сбора информации в соответствие с принятым в 1974 г. законом «О неприкосновенности частной жизни».

Конгресс среагировал на всеобщую озабоченность в связи с практикой сбора информации федеральными ведомствами на сетевых сайтах, внеся формулировку, касающуюся такой деятельности министерств и ведомств, финансируемых по закону «Об общих ассигнованиях на правительственную деятельность на 2001 финансовый год». Аналогичная формулировка содержится также в законе «Об ассигнованиях на транспорт на 2001 финансовый год». Раздел 501 этого закона запрещает любому федеральному ведомству использовать фонды, выделенные по закону «Об общих ассигнованиях на правительственную деятельность на 2001 финансовый год», для сбора, рассмотрения и составления сводных списков, содержащих персонально идентифицируемую информацию о доступе или использовании отдельным лицом федерального сетевого сайта или вступать в соглашения с третьими сторонами с этой целью с определенными исключениями. Раздел 646 закона «Об общих ассигнованиях на пра-

116

вительственную деятельность на 2001 финансовый год» требовал от генеральных инспекторов ведомств или министерств, подпадающих под действие этого закона, доложить конгрессу в течение 60 дней после вступления закона в силу о деятельности этих ведомств или министерств, относящейся к сбору персонально идентифицируемой информации об отдельных лицах, которые заходили на любой сетевой сайт такого ведомства или министерства, или заключении ими соглашения с третьими сторонами в целях получения персонально идентифицируемой информации об использовании правительственных и неправительственных сетевых сайтов.

Информация, содержащая персональные данные, должна иметь гарантированный уровень правовой, организационно-технической защиты независимо от того, в базе данных государственной или частной организации она находится.

Подводя итог, можно сделать вывод, что указанные положения практически аналогичны принципам, лежащим в основе европейской системы защиты персональных данных. Тем не менее, практика защиты персональных данных в США не является безупречной, чем и объясняется включение США в список стран, не обеспечивающих адекватную защиту персональных данных, соответствующий порядок которой предусмотрен п. 2 ст. 25 директивы ЕС 95/46/ЕС. В частности, в США нет специальной независимой структуры, обеспечивающей эффективный контроль за соблюдением прав субъекта персональных данных (например, уполномоченного либо комиссара по защите персональных данных).

Оборот персональных данных в государственном секторе США. Государства долгое время культивировали секретность, которая была инструментом власти и служила целям защиты от любопытства граждан. Для защиты собственных секретов государства не только старались, чтобы граждане не узнали ничего от государства, но и стремились к тому, чтобы личная и общественная жизнь их самих была прозрачна. Сегодня в большинстве стран эти ценности поменялись местами. От власти требуется прозрачность, и шаг за шагом развивается идея о необходимости защиты неприкосновенности частной жизни.

Соединенные Штаты Америки являются страной с ультралиберальной экономикой, с социальными программами, стоимость которых исчисляется запредельными суммами, а также с последовательной, неуклонной и жесткой политикой в области государственного

117

строительства. Достаточно сказать, что общее законодательство США (свод законов) более чем на половину состоит из разделов, посвященных деятельности госсектора, а также структуре госвласти и ее подотчетности обществу.

Результатом, вытекающим из американской традиции, является то, что в Штатах до сих пор отсутствует общее законодательство о персональных данных, а конфликты интересов решаются преимущественно на основании прямого применения положений конституции, опираясь при этом на богатую традицию прецедентного права. Кроме того, США – первая страна, где был принят обширный закон, регламентирующий деятельность органов исполнительной власти, связанную с персональными данными граждан (закон «О защите частных интересов» 1974 г.). Этот закон до сих пор является образцом для тех национальных законодателей, которые считают необходимым решать рассматриваемую проблему.

Опираясь на американский опыт, рассмотрим особенности оборота персональных данных внутри американского госсектора и примеры законодательного регулирования этого оборота.

Основным источником получения госведомствами персональных данных являются граждане. Большинство сведений (документов) получается американскими госведомствами в электронном виде, однако правила получения этой информации распространяются на все формы документов. Впоследствии полученная информация становится частью общего документооборота внутри госведомства. Поэтому в американском законодательстве вопросу сбора информации от граждан уделяется особое внимание в рамках общей информационной политики и соответствующего законодательства. Основными положениями этого законодательства являются:

−защита частных интересов граждан;

−снижение бремени (нагрузки всех видов) на них.

В соответствии с положениями закона «О сокращении бумажного документооборота» ведомство в отношении сбора информации и контроля за документооборотом обязано:

1. Под руководством начальника управления по информатизации ведомства (ответственного должностного лица, возглавляющего политику госведомства в области информатизации):

а) подготовить сводный документ по каждому типу собираемой информации, включая:

− оценку потребности в сборе информации;

118

−функциональное описание собираемой информации;

−план сбора информации;

−оценку нагрузки на граждан по сбору и предоставлению информации;

−результаты проведенных текстовых пилотных работ по сбору информации;

−план использования получаемой информации с оценкой эффективности и результативности использования;

б) обеспечивать:

−инвентаризацию собираемой информации;

−опубликование контрольного номера собираемой информации; в) информировать тех, кто предоставляет информацию:

−о целях сбора информации;

−о способах ее использования;

−об оценке нагрузки, если это возможно, по сбору и предоставлению гражданами информации;

−о выгоде от предоставления информации, если это предоставление является добровольным;

−о том, что, если собираемый тип информации не имеет контрольного номера, граждане не обязаны ее предоставлять.

2. Опубликовать в Федеральном регистре (сборнике официальных документов, в том числе проектов этих документов):

а) в течение 60 дней уведомление для получения отзывов на процесс сбора информации в целях:

−оценки целесообразности сбора информации с точки зрения выполнения ведомством своих функций, включая оценку практической пользы от ее использования;

−проверки точности оценки нагрузки на граждан, связанной со сбором и предоставлением информации;

−повышения качества, полезности и точности собираемой информации;

б) уведомление о предполагаемых административных правилах, связанных с осуществлением сбора информации, если такие правила предполагаются к принятию.

3. Подготовить сертификат, в котором должно быть указано, что сбор информации:

−не может быть осуществлен путем законного получения информации от других ведомств;

119

−необходим для выполнения ведомством своих функций;

−снижает в силу используемых технологий нагрузку на граждан по сбору и предоставлению ведомству информации;

−описан логично и с использованием понятной терминологии для тех, кто будет предоставлять информацию;

−будет проводиться с применением средств обработки документов, доступных для тех, кто будет предоставлять информацию;

−будет проводиться подразделением ведомства, имеющим ресурсы для эффективного и результативного управления документооборотом;

−проводится с применением эффективной статистической методологии;

−в возможно достижимых пределах использует информационные технологии для снижения нагрузки, повышения качества данных, эффективности деятельности ведомства и его способности реагировать на запросы общества.

Ведомство обязано предоставить директору административнобюджетного управления указанные сводный документ и сертификат, только после утверждения которых, а также получения ведомством контрольного номера допускается сбор информации.

Защищая права граждан от необоснованных требований со стороны федеральных ведомств по предоставлению им информации (электронных документов), закон одновременно требует от федеральных ведомств предоставления гражданам возможности в случаях, когда это возможно, отсылать документы в электронной форме.

Следующим важнейшим этапом обработки персональных данных является использование этих данных внутри госведомства. Вполне очевидно, что этот этап обработки, как и сбор персональных данных, должен подчиняться общим законодательным правилам и отвечать принципам обработки. Однако специфика государства накладывает на эти действия госведомств отдельные, иногда весьма жесткие ограничения. Наиболее детально такие требования представлены в американском законе «О защите частных интересов».

Для успешного выполнения государственными ведомствами наложенных на них обязанностей (в первую очередь в тех вопросах, которые связаны с решениями, принимаемыми в сфере финансовых отношений государства и граждан) насущно необходимым является уточнение или взаимное использование персональных данных, имеющих непосредственное отношение к указанным обязанностям.

120

Удовлетворение этой потребности, диктуемой самой жизнью, тем не менее, должно быть регламентировано самым тщательным образом. Лучше всего, когда регламентация происходит на уровне закона и не допускает полета ведомственного творчества, тем более «междусобойчика» конкретных чиновников. Иное может привести к тягчайшим последствиям для граждан в результате потери контроля над их персональными данными.

Национальные законы США описывают процедуру взаимного использования персональной информации этими ведомствами (так называемые «программы сравнения» персональных данных) и требования к проведению данной процедуры.

Эти положения предписывают:

−публичность «программ сравнения» (уведомление субъекта данных);

−осуществление «программ сравнения» только при наличии договорных отношений между ведомствами;

−наличие методик оценки качества результатов, полученных при выполнении «программ сравнения»;

−обеспечение целостности данных и их защиты в процессе проведения «программ сравнения»;

−уничтожение сравниваемых данных.

Законы содержат также положения, гарантирующие права субъекта данных на опротестование результатов сравнения данных, что имеет непосредственное отношение к тем положениям, которые касаются прав субъекта данных, связанных с принятием так называемых «автоматизированных решений».

К общим проблемам добавляются те, которые связаны с возможной вторичной компиляцией персональных данных. Даже в случае правового оформления порядка доступа к персональным данным, содержащимся в публичных регистрах, правоприменение может быть затруднено. Если базовыми данными являются имя, адрес и другие общедоступные данные, то после присоединения к ним фрагментов, содержащихся в различных регистрах, может возникнуть новое информационное качество, несущее потенциальную угрозу для субъекта персональных данных, что в общем случае может быть признано нарушением закона. При этом будет трудно доказать противозаконность использования каждого из этих регистров. Это особенно трудно в ситуации, когда фрагменты данных (копии реги-