Глава 1. Общая характеристика института персональных данных

§ 1. Предпосылки возникновения института

персональных данных личности

Предпосылки возникновения института персональных данных связаны как с объективными тенденциями развития общества и государства, так и с субъективными потребностями конкретного индивида. Именно поэтому специалисты, занимающиеся данной проблематикой, как правило, делятся на два "лагеря": сторонников приоритета обеспечения публично-правовых интересов государства и сторонников приоритета обеспечения частноправовых интересов личности. Эти два подхода по сути своей диаметрально противоположны, но тем не менее представляют собой две стороны одной медали. Государство заинтересовано в получении максимально полной информации о гражданах, а гражданин - в обеспечении защиты своего личного пространства, прайвеси (англ. privacy). От того, чей интерес ставится во главу угла, зависит характер правового регулирования оборота персональных данных. Автор данной работы придерживается "частноправового" подхода, полагая, что опыт защиты интересов государства в нашей стране отработан до совершенства, чего, к сожалению, пока нельзя сказать о защите интересов личности.

Исследование правового регулирования оборота персональных данных следует начать с уяснения сути самого феномена "персональные данные". Иными словами, речь идет о необходимости определения предмета правового регулирования. Это важно еще и потому, что до недавнего времени в действующем российском законодательстве не только не существовало единого подхода к этой проблеме, но не было даже единого термина, обозначающего изучаемое явление.

Подобное положение дел вполне объяснимо. Ведь в советское время проблемы оборота и защиты персональных данных личности не существовало и не могло существовать. Приоритет общественного над личным предполагал "прозрачность" частной жизни индивида для общества и государства.

Сегодня ситуация коренным образом изменилась. Конституция РФ 1993 г. закрепила принцип приоритета прав и свобод человека и гражданина, право каждого на неприкосновенность частной жизни, личную и семейную тайну, защиты чести и доброго имени (ст. 2, п. 1 ст. 23).

Демократизация всех сфер общественной жизни в России создала благоприятные условия для свободного информационного обмена, а прорывное развитие новых технологий сделало сам информационный обмен как никогда более интенсивным. Применение компьютерных технологий значительно облегчило сбор, накопление, обработку и распространение информации, в том числе и информации личного характера - персональных данных, однако одновременно с этим значительно повысило риск их утечки и несанкционированного использования. В связи с этим возникла необходимость в создании правового механизма защиты информации.

Как известно, человек - существо социальное. Являясь частью общества, он строит свою жизнь в соответствии с его традициями и законами, вследствие чего он неизбежно должен в некоторой степени ограничивать свою свободу и вырабатывать адекватные принципы взаимоотношений с другими людьми и обществом в целом. В то же время, являясь частью человеческого сообщества, каждый индивид нуждается в собственной персонификации, т.е. в установлении отличий от других индивидов и некоторой обособленности личности. То есть для благополучной и стабильной социальной и личной жизни человеку необходима гармонизация своих собственных интересов с интересами общества.

Вышеизложенное относится ко всем сферам проявления человеческой личности, в том числе и к сфере личной свободы и информации. Любой человек, являясь частью социума, не может быть единственным и безусловным обладателем информации о самом себе. Информация о человеке неизбежно циркулирует в обществе, объективно существуя как в виде документов, так и в сознании других людей, а оборот ее часто осуществляется независимо от воли индивида. В то же время очевидно, что индивид должен иметь право быть осведомленным о том, какая информация о нем накапливается в обществе, и иметь право влиять на этот процесс: "Любой психически здоровый человек с момента осознания себя личностью существует как бы в двух параллельных плоскостях - перед самим собой он предстает в одной ипостаси, перед окружающими, внешней средой - в иной. Подавляющее большинство людей не горят желанием демонстрировать свой внутренний мир, его интимные закоулки и ту совокупность информации, которую по разным причинам человек желает скрыть от окружающих... Более углубленное проникновение в причины такой поведенческой модели человека - дело психологии. Для юридической науки важно, что данная поведенческая модель является распространенным повторяющимся поведением - нормой. Причем отклонение от этой нормы воспринимается обществом негативно и, более того, в ряде случаев вынужденная потеря индивидом своей "информационной одежды" может привести к трагическим последствиям: преступлениям или самоубийствам" <1>.

--------------------------------

<1> Фатьянов А.А. Правовое обеспечение безопасности информации в Российской Федерации: Учеб. пособие. М., 2001. С. 219.

Таким образом, одной из важнейших предпосылок возникновения института персональных данных в условиях информационного общества служит естественная потребность каждого индивида защитить неприкосновенность своей частной жизни и самостоятельно регулировать процессы движения информации личного характера, а также иметь рычаги контроля за ее распространением. Ведь Всемирная паутина не только предоставляет колоссальные возможности для интерактивного общения и обмена информацией, но и ставит под сомнение такое понятие, как неприкосновенность частной жизни.

Наряду с этим нельзя отрицать, что персонификация личности представляет собой необходимый и исходный элемент ее социализации в государстве, является важнейшей предпосылкой для включения личности в социальные контакты и создает юридическую платформу для реализации ее право- и дееспособности: "Реализуя порядок оформления и представления своих персональных данных, гражданин создает ступени, условия включения его в юридический порядок реализации своих прав, обеспечения своих интересов, а также защиты прав в случае их нарушения. Персональные данные человека исполняют роль инструмента контроля за соблюдением его прав и законных интересов. Документированное свидетельство об образовании, профессии, благонадежности и т.п. не позволит нарушить законные права субъекта персональных данных" <1>.

--------------------------------

<1> Бачило И.Л., Сергиенко Л.А., Кристальный Б.В., Арешев А.Г. Персональные данные в структуре информационных ресурсов. Основы правового регулирования. Минск, 2006. С. 12.

В информации о гражданах в силу объективных причин нуждается и государство. Динамичное социально-экономическое развитие общества невозможно без обеспечения органов государственной власти и органов местного самоуправления достоверной информацией о гражданах Российской Федерации, а также об иностранных гражданах и лицах без гражданства, временно или постоянно проживающих в Российской Федерации. Создание подобной информационной системы, как отмечается в Концепции создания системы персонального учета населения Российской Федерации, одобренной распоряжением Правительства РФ от 9 июня 2005 г. N 748-р, необходимо государству для обеспечения адресности и эффективности социальной поддержки граждан, охраны общественного порядка, противодействия терроризму, а также обеспечения конституционных прав и свобод граждан <1>.

--------------------------------

<1> СЗ РФ. 2005. N 24. Ст. 2414.

Общеизвестно, что информация всегда была и остается важнейшим атрибутом государственного управления. С древнейших времен светская власть собирала информацию о населении с помощью фискальных органов. Власть духовная использовала другие средства: церковные книги, где отмечались факты рождений, смертей, венчаний, были источником сведений о прихожанах для духовных правителей.

Государство, осуществляя присущие ему функции управления, испытывает объективную потребность в получении сведений о населении. Любой управленческий цикл начинается со сбора и обработки информации и заканчивается получением аналитической информации, являющейся исходной для нового цикла управления.

Таким образом, три объективных фактора - потребность государства в полной и достоверной информации о населении, потребность индивида в неприкосновенности частной жизни на фоне стремительной интеграции и глобализации и прорывное развитие информационных технологий - обусловили появление в правовой науке специальной юридической категории, получившей название "персональные данные личности".

Термин "институт" часто употребляется в неопределенно широком смысле: говорят, например, о социальных, политических, экономических институтах общества. При этом могут подразумеваться самые разнообразные и разнородные явления. Однако в данном случае речь идет о сугубо юридическом понятии института, которое традиционно рассматривается как совокупность правовых норм, составляющих часть отрасли права и регулирующих определенный вид или сторону однородных общественных отношений <1>.

--------------------------------

<1> Лазарев В.В., Липень С.В. Теория государства и права: Учебник для вузов. 2-е изд. М., 2000.

Нормативное оформление института персональных данных имеет достаточно долгую историю. Первые научные исследования в области оборота информации и защиты отдельных ее видов от несанкционированного использования появились в западных странах в 60 - 70-е гг. прошлого века и были обусловлены появлением первой компьютерной техники и ее применением при обработке информации. Примерно тогда же, т.е. в 60 - 70-е гг., стало формироваться и первое зарубежное национальное законодательство в этой области. Правовой основой для него послужила Всеобщая декларация прав человека, провозглашенная Генеральной Ассамблеей Организации Объединенных Наций в 1948 г. Согласно ст. 12 этого документа "никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь произвольным посягательством на его честь и репутацию". Положения Декларации получили свое дальнейшее развитие в других международно-правовых документах и документах Европейского союза, в частности в принятой 4 декабря 1950 г. Европейской конвенции о защите прав человека и основных свобод.

28 января 1981 г. Совет Европы принял Конвенцию о защите физических лиц при автоматизированной обработке персональных данных <1> (далее - Конвенция о защите физических лиц) и Дополнительный протокол к Конвенции, касающийся наблюдательных органов и трансграничной передачи данных. Были приняты также две директивы Европейского парламента и Совета Европейского союза (Директива 95/46/ЕС от 24 октября 1995 г. о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных и Директива 97/66/ЕС от 15 декабря 1997 г., касающаяся использования персональных данных и защиты неприкосновенности частной жизни в сфере телекоммуникаций); а также Рекомендации Комитета министров государствам - членам Совета Европы по защите неприкосновенности частной жизни в Интернете (19 февраля 1999 г.) <2>.

--------------------------------

<1> См.: Сборник документов Совета Европы в области защиты прав человека и борьбы с преступностью. М., 1998.

<2> См.: Бачило И.Л., Сергиенко Л.А., Кристальный Б.В., Арешев А.Г. Персональные данные в структуре информационных ресурсов. Основы правового регулирования. С. 14.

Нормативное регулирование в рассматриваемой области в западных странах, в частности в странах ЕС, значительно опережало российскую нормотворческую практику как в полноте регулирования, так и в его качестве. Законы о защите персональных данных были приняты в большинстве европейских стран, причем в настоящее время во многих странах эти законы действуют в уже обновленных редакциях. Первый закон о защите персональных данных был принят в 1970 г. в Германии, в земле Гессен. До этого подобных законов нигде в мире не было <1>.

--------------------------------

<1> См.: Защита персональных данных. Опыт правового регулирования / Сост. Е.К. Волчинская. М., 2001. С. 70.

У нас в стране проблемы оборота информации и ее защиты впервые попали в фокус общественного внимания в 80-х гг. XX в. Конечно, соответствующие исследования велись и раньше, однако это были единичные работы специалистов в области теории информации, информационной безопасности, компьютерного права. Их разработки помогли отечественной науке информационного права сформироваться как таковой.

Более позднее развитие науки информационного права было обусловлено особенностями развития нашего государства: во-первых, значительно более поздним распространением компьютерной техники; во-вторых, отсутствием сильных демократических традиций, относительно недавним избавлением от цензуры и обретением свободы СМИ.

В России впервые основные права и свободы человека и гражданина, в том числе права и свободы в области информации, были закреплены в Конституции РФ 1993 г. В частности, Конституцией закреплены два основополагающих принципа: право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени, право на тайну переписки, телефонных переговоров, почтовых телеграфных и иных сообщений; и право свободно искать, получать, передавать, производить и распространять информацию. При этом сбор, хранение, использование информации о частной жизни лица без его согласия согласно Конституции не допускаются.

20 февраля 1995 г. был принят Федеральный закон N 24-ФЗ "Об информации, информатизации и защите информации" <1>, непосредственно регулирующий права граждан в сфере информации, а 4 июля 1996 г. - Федеральный закон N 85-ФЗ "Об участии в международном информационном обмене" <2>.

--------------------------------

<1> СЗ РФ. 1995. N 8. Ст. 609.

<2> СЗ РФ. 1996. N 28. Ст. 3347.

Эти нормативные акты заложили основы правового регулирования оборота информации и подготовили базу для разработки специализированного законодательства.

"Персональные данные" (лат. personal data) - термин, используемый в европейском законодательстве, обозначает одновременно группу правоотношений и объект защиты.

Первоначально в российской системе права этот правовой институт складывался стихийно лишь постольку, поскольку являлся частью каких-либо иных общественных отношений, ставших предметом правового регулирования. Вопросы защиты персональных данных фрагментарно регулировались в основном отраслевым законодательством: Семейным кодексом РФ <1> (далее - СК РФ), Трудовым кодексом РФ <2> (далее - ТК РФ), Кодексом РФ об административных правонарушениях <3> (далее - КоАП РФ), Гражданским кодексом РФ <4> (далее - ГК РФ), Уголовным кодексом РФ <5> (далее - УК РФ). Поэтому не было, как уже отмечалось, ни единого термина, обозначающего данный институт, ни определения, раскрывающего его суть, ни единого согласованного подхода к данной проблеме вообще. Однако, как известно, и для нормотворческой, и для правоприменительной практики такой подход чрезвычайно важен. В отсутствие единого законодательного акта, регулирующего общие принципы оборота и защиты персональных данных, правовое регулирование в этой сфере было неполным и не отличалось согласованностью.

--------------------------------

<1> СЗ РФ. 1996. N 1. Ст. 16.

<2> СЗ РФ. 2002. N 1 (ч. I). Ст. 3.

<3> Там же. Ст. 1.

<4> СЗ РФ. 1994. N 32. Ст. 3301.

<5> СЗ РФ. 1996. N 25. Ст. 2954.

Первый шаг в создании комплексного правового регулирования института персональных данных личности был сделан путем ратификации Россией Конвенции о защите физических лиц <1>.

--------------------------------

<1> Федеральный закон от 19 декабря 2005 г. N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" // СЗ РФ. 2005. N 52 (ч. I). Ст. 5573.

Конвенция о защите физических лиц содержит определения основных понятий в сфере персональных данных и их защиты (персональные данные, автоматизированная база данных, автоматическая обработка) и устанавливает общие принципы автоматизированной обработки данных и их защиты. К числу таких принципов относятся добросовестность, законность, целевое соответствие, точность получения и обработки данных, их защита от несанкционированного использования, усиленный режим охраны особых категорий сведений (о национальной принадлежности, взглядах и убеждениях, здоровье и интимной жизни, судимости и др.).

Основной целью Конвенции является обеспечение на территории государства, подписавшего Конвенцию, уважения прав и основных свобод каждого человека независимо от его гражданства или места жительства, создание правовых основ обеспечения прав и свобод граждан, и в первую очередь права на неприкосновенность личной сферы в связи с автоматической обработкой персональных данных.

Конвенция о защите физических лиц послужила отправной точкой для разработки российского Закона о персональных данных. В этом Законе отечественный законодатель стремился установить общее правовое регулирование института персональных данных и развить большинство положений Конвенции, таких, например, как понятие персональных данных, принципы и порядок их обработки, права субъектов персональных данных, полномочия операторов, создание специального уполномоченного органа по защите прав субъектов персональных данных и т.п.

К моменту подготовки российского законопроекта в странах ЕС уже давно действовали соответствующие законы и был накоплен определенный нормотворческий опыт, который частично был учтен российскими законодателями.

В результате был принят Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных", вступивший в силу 26 января 2007 г. (далее - Закон о персональных данных).

Закон о персональных данных состоит из шести глав и 25 статей. В Законе даны определения таких понятий, как "персональные данные", "оператор", "обработка персональных данных", "конфиденциальность персональных данных" и др.; закреплен достаточно эффективный механизм противодействия нарушениям прав физических лиц в сфере оборота персональных данных. Закон обеспечивает правовую защищенность личности в условиях информационного общества и создает предпосылки для укрепления внешнеполитических позиций нашего государства; способствует решению таких задач, как эффективное управление информационными ресурсами и информационное обеспечение государственных органов и органов местного самоуправления. На базе этого Закона к настоящему времени принято немало подзаконных актов.

Вместе с тем Закон имеет и недостатки. Так, нельзя не отметить, что основное внимание в нем уделено технологическим вопросам обработки персональных данных и порядку деятельности операторов. Значительно хуже разработаны исходные общетеоретические положения о целях и задачах Закона, о статусе персональных данных как таковых, об общих принципах оборота персональных данных в Российской Федерации. В настоящей работе мы еще не раз вернемся к этим проблемам. Сейчас же отметим два принципиальных, на наш взгляд, момента.

Во-первых, недостаточная теоретическая разработка основных понятий и принципов вкупе с явным перекосом в сторону технических и технологических проблем обработки персональных данных вольно или невольно смещает акценты с принципиальных вопросов защиты прав и свобод человека и гражданина в сфере оборота информации личного характера на более специальные проблемы ее обработки и оптимального использования в государственных или иных интересах.

Поэтому, ничуть не умаляя значимость применения современных технологий в деле обработки информации, все же заметим, что главной целью Закона о защите персональных данных должно быть урегулирование противоречивых интересов, связанных с защитой неприкосновенности частной жизни, личной и семейной тайны, с одной стороны, и конституционным принципом свободы слова и информации - с другой.

Во-вторых, в рассматриваемом Законе не слишком удачно применен термин "обработка персональных данных". Согласно тексту Закона он обозначает все возможные действия (операции) с персональными данными, а именно: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение (п. 3 ст. 3). Однако в русском языке слово "обработка" обычно используется в более узком значении и семантически обозначает только одно - действие от глагола "обрабатывать", "обработать" <1>.

--------------------------------

<1> Словарь русского языка. 3-е изд. М., 1986. Т. 2. С. 559.

По нашему мнению, для обозначения всех вышеперечисленных действий с персональными данными идеально подходит термин "оборот", который к тому же достаточно широко используется в российском законодательстве <1>. Слово "оборот" обычно означает "полный повторяющийся цикл в каком-либо процессе, употреблении, применении, использовании" <2>. Далее в настоящей работе термин "оборот" будет использоваться как синоним термина "обработка" в том смысле, которым его наделяет Закон о персональных данных.

--------------------------------

<1> Например: Федеральный закон от 24 июля 2002 г. N 101-ФЗ "Об обороте земель сельскохозяйственного назначения" // СЗ РФ. 2002. N 30. Ст. 3018.

<2> Словарь русского языка. Т. 2. С. 556 - 557.

Закон имеет и другие недостатки, о которых еще будет сказано в данной работе. Тем не менее в целом принятие Закона о персональных данных можно рассматривать как значительный шаг в сторону демократизации и формирования гражданского общества.