Организация защиты служебной тайны

Правовому регулированию государственной службы и статусу государственного служащего в законодательстве США уделяется самое пристальное внимание. Данные вопросы включены в пятый титул Свода законов США (сразу после таких титулов, как «Общие положения», «Конгресс», «Президент», «Флаг и печать, место нахождения правительства и штаты»).

Вопросы защиты тайны рассматриваются в части III «Служащие» титула 5 «Государственные органы и служащие».

В данном разделе закона определяются следующие положения, связанные с защитой служебной тайны:

• служащий обязан не разглашать секретную информацию, запрещенную для разглашения законом;

• разглашать Специальному Совету или Главному Инспектору агентства или другому служащему, назначенному главой агентства для принятия таких разглашений, данные, которые, как обоснованно полагает служащий или кандидат на занятие должности, свидетельствуют о нарушении какого-либо закона, правила, постановления или об очевидно неправильном управлении, очевидной растрате средств, злоупотреблении властью или о наличии существенной и реальной угрозы благосостоянию или безопасности общества;

• должности, связанные с секретным характером работы, исключаются из конкурсной службы.

Организация защиты персональных данных

Начиная с 60-х годов прошлого столетия, в связи с ростом заинтересованности граждан в защите личных прав и свобод, как на федеральном уровне, так и на уровне штатов в США были приняты некоторые законы, регулирующие взаимоотношения между обществом, государством и личностью. Основой обеспечения информационных свобод гражданина является Закон о свободе информации 1966 года. Он обеспечивает любому гражданину широкий доступ к информации, имеющейся в распоряжении федеральных государственных структур; закрытыми являются лишь архивы судебных органов и Белого дома. Поправки, связанные с принятием в 1996 году Закона о свободе электронной информации, обеспечили гражданам свободный доступ к электронным базам данных. Кроме того, в каждом штате действует собственный закон о доступе к правительственной информации.

Принятые на федеральном уровне законы, в отличие от Директивы 95/46/EC, объединяющей различные области применения персональной информации, затрагивают в основном лишь публичный сектор и являются частными, сосредоточенными на конкретных категориях персональной информации, таких как книги финансового учета, кредитные ведомости, журналы учета клиентов фирм проката видеокассет, абонентов кабельного телевидения и образовательных программ, регистрационные журналы абонентов телефонных компаний. Такие виды деятельности, как продажа данных медицинского и банковского учета, мониторинг на рабочих местах и видеонаблюдение за частными лицами в настоящее время действующим федеральным законодательством не запрещены.

Помимо этого, вопросы защиты персональных данных находят свое отражение в конституциональном и судебном законодательстве. В частности, согласно постановлению Верховного суда, граждане имеют ограниченное конституционное право на неприкосновенность частной жизни, основанное на ряде положений Билля о правах. Речь идет о свободе от государственного надзора за теми сферами деятельности лица, которые “в силу очевидных причин принято относить к частной жизни”. Верховный суд также признал право на анонимность и право политических организаций не раскрывать имена своих членов государственным органам.

На уровне штатов гражданам гарантировано право приватности через положения местных конституций:

Законодательное регулирование вопросов защиты персональной информации в США осуществляется исключительно в публичном секторе, оставив частным компаниям и лицам пространство для саморегулирования, за исключением некоторых специфических законов.

Развитие законодательства США по вопросам защиты персональных данных осуществлялось в несколько этапов.

1970 год - принятие акта, регулирующего предоставление кредитной информации о покупателе (Fair Credit Reporting Act). Он налагает определенные обязанности на учреждения, занимающиеся подобной деятельностью (кредитные бюро). В частности, такие учреждения должны вести список организаций, которые регулярно занимаются сбором и оценкой кредитной информации о покупателе для предоставления отчетов третьим сторонам.

В соответствии с требованиями данного акта, любое кредитное учреждение должно принимать соответствующие меры, дабы предотвратить несанкционированное разглашение информации. Со стороны пользователя такой информации должно быть заявлено следующее: личность пользователя, цели использования информации, а также гарантии, что информация не будет использоваться вне заявленных целей.

1974 год – принятие акта о защите приватности (Privacy Act). В основу данного акта легли принципы, определенные в Кодексе о Справедливой Информационной Практике (Code of Fair Information Practice), который был выпущен в 1973 году Государственным Департаментом Здоровья и Образования. К данным принципам относятся следующие:

- не должно существовать секретных баз персональных данных;

- должны быть определены механизмы, которые позволили бы отдельным гражданам проверить, какая информация личного характера находится в соответствующих базах данных и как она используется;

- должны быть определены методы, позволяющие отдельным гражданам предотвратить использование информации, собранной в базах персональных данных в незаявленных целях и без согласия субъекта данных;

- должны быть разработаны процедуры, позволяющие субъектам данных скорректировать либо удалить собранные о них персональные данные;

- организации, собирающие, обрабатывающие и использующие персональные данные, в том числе передающие их третьей стороне, должны обеспечить такое положение, когда данные будут использоваться только в заявленных целях и будут приняты меры предосторожности для предотвращения их злоумышленного использования.

Указанные принципы должны распространяться на все категории систем обработки персональных данных. Подобный кодекс является примером осуществление стратегии саморегулирования рынка персональных данных, проводимой в США.

Акт от 1974 года о защите приватности был принят с целью предотвращения злоупотреблений со стороны государства в области использования персональной информации. Данный документ включал общие правила, регулирующие процессы сбора, использования и раскрытия персональной информации, находящейся в ведении различных федеральных учреждений.

Два положения закона имеют принципиально важное значение с точки зрения защиты неприкосновенности частной жизни. Во-первых, в преамбуле закона право на приватность впервые определено как "личное и фундаментальное право, охраняемое Конституцией Соединенных Штатов" и тем самым официально приравнено к основным гражданским правам и свободам. Во-вторых, закон устанавливает запрет на сбор и хранение информации о том, как субъект осуществляет свои права, предусмотренные первой поправкой к конституции (т.е. свободу слова и печати, свободу вероисповедания, свободу собраний и др.), за исключением случаев, когда это прямо предписано законом или разрешено самим субъектом данных.

Закон закрепляет за субъектом персональных данных комплекс правомочий, позволяющих ему осуществлять превентивный контроль за тем, как его право на информационную приватность соблюдается федеральными ведомствами и их должностными лицами. К числу прав относятся:

1. Право быть осведомленным о существовании системы обработки персональных данных. Это право обеспечивается обязанностью ведомства, создающего или реорганизующего уже имеющуюся систему персональных данных, публиковать в Федеральном реестре соответствующее уведомление, в котором указываются ее название и местонахождение; категории лиц, персональные данные которых в ней накапливаются; категории персональных данных. Требование о публикации уведомления распространяется и на те системы персональных данных, для которых закон устанавливает изъятия из общих правил о доступе индивида к своим персональным данным (например, в отношении баз персональных данных ЦРУ и ФБР). Таким образом, закон, допуская существование закрытых систем персональных данных, исключает наличие секретных систем.

2. Право быть осведомленным о целях сбора и обработки информации. Это право обеспечивается обязанностью ведомства при сборе информации сообщать субъекту данных о предполагаемых целях использования информации, о том, на каком правовом основании собирается информация и является ли ее предоставление обязательным или добровольным, а также уведомлять о последствиях отказа предоставить персональные данные.

3. Право на доступ к своим персональным данным, на их изучение и получение копии всех данных или их части.

4. Право требовать внесения изменений и дополнений в свои персональные данные. В случае отказа внести такие изменения ведомство обязано уведомить субъекта данных о мотивах отказа и информировать его о процедуре пересмотра принятого решения, указав должностное лицо, к компетенции которого относится такой пересмотр. Если он настаивает на пересмотре, окончательное решение должно быть вынесено не позднее 30 дней после подачи соответствующего заявления. В случае окончательного отказа лицо может воспользоваться правом представить в ведомство аргументированное за­явление о своем несогласии с решением; это заявление должно быть приобщено к его персональным данным и следовать за ними при последующей передаче. Независимо от этого в случае отказа от внесения изменений в персональные данные или отказа в доступе к информации субъект данных вправе обратиться в суд. По результатам рассмотрения суд может издать приказ, обязывающий ведомство предоставить лицу доступ к персональным данным или внести изменения в персональные данные.

Одновременно закон налагает на ведомства ряд обязательств и ограничений, касающихся сбора и использования персональной информации:

1. Ведомство вправе накапливать только такую информацию о субъекте данных, которая имеет непосредственное отношение к компетенции соответствующего ведомства. Накапливаемые данные должны отвечать требованию "достоверности, относимости, своевременности и полноты". Нарушение ведомством этой обязанности, если оно имело следствием принятие неблагоприятного для субъекта данных решения, служит основанием для судебного иска. Возмещению подлежат фактические убытки и судебные расходы.

2. Устанавливается общий режим конфиденциальности персональных данных: их раскрытие или передача третьим лицам либо другим ведомствам разрешается только по требованию или с письменного согласия субъекта персональных данных. Режим конфиденциальности призван обеспечить соблюдение одного из основных принципов добросовестной информационной практики: информация, полученная для определенной цели, не может быть использована для других целей. Вместе с тем закон предусматривает ряд исключений из правила о конфиденциальности. Одно из них - так называемая оговорка о "рутинном использовании" информации - создает широкие возможности для нарушения режима конфиденциальности и обмена персональной информацией между ведомствами. Эта оговорка разрешает ведомству использовать персональные данные и раскрывать их для целей, совместимых (но не обязательно совпадающих) с той целью, для которой была собрана информация.

Первоначальная идея этой оговорки состояла в том, чтобы предоставить ведомству некоторую оперативную свободу при работе с персональными данными. Однако законодатель не установил критериев "рутинного использования", предоставив ведомствам возможность по собственному усмотрению определять, какое именно применение информации считается в их практике рутинным. И ведомства широко пользуются этой лазейкой. Так, ЦРУ предложило считать "рутинным использованием" передачу накапливаемой им персональной информации "органам федерации и штатов, другим компетентным учреждениям и физическим лицам, а также - по официальным каналам - некоторым иностранным правительствам, если такая передача необходима или способствует ЦРУ в выполнении обязанностей, возложенных на него федеральными законами, президентскими указами, директивами о национальной безопасности или постановлениями, принятым» в их развитие".

Закон о приватности был одним из первых в мире законов о защите персональных данных и послужил своего рода точкой отсчета для законотворчества в других индустриальных странах. Однако, по мнению экспертов, действие принципов, положенных в его основу, во многом ослабляется нечеткостью формулировок, позволяющих ведомствам обходить неудобные для них требования закона, и многочисленными исключениями. Кроме того, установленные им гарантии направлены не столько на защиту неприкосновенности частной сферы лица при сборе и использовании персональной информации, сколько на обеспечение конфиденциальности (т.е. на предотвращение распространения информации). Данный закон является законом "первого поколения". Он разрабатывался в те времена, когда 80% всех систем персональной информации составляли не автоматизированные, а традиционные системы, т.е. создаваемые вручную, и был ориентирован в равной мере на оба вида систем.

Акт о приватности 1974 года применим только к записям федеральных учреждений (запись определена как любая единичная запись или группа записей, включающая, но не ограничивающаяся подобным, информацию об образовании, рабочей занятости, финансовых сделках, истории болезней, криминальном прошлом и содержащая имя субъекта или иной идентификатор, в том числе отпечатки пальцев, фрагмент голоса или фотографию). Закон содержит следующие важные положения: запрещает раскрытие записей без заявленного на то согласия субъекта данных, но делает такое раскрытие возможным, если оно прямо соответствует изначально заявленным целям использования персональных данных; ограничивает количество хранимой информации критериями соответствия целям и необходимости; обязывает учреждения по требованию субъекта данных предоставить ему информацию о базах, которые содержат релевантные записи, а также возможность вносить изменения в их содержание; требует от учреждений обеспечивать сохранность сведений. Любая третья сторона, призванная по контракту с федеральным органом обрабатывать персональные данные, обязана соблюдать положения данного акта. В качестве компенсации ущерба субъекту данных предусмотрен денежный штраф нарушителю до 5 тысяч американских долларов.

Указанные положения в целом соответствуют практикуемым на территории Европейского сообщества, однако, имеется ряд положений, которые обусловили внесение США в порядке, предусмотренном в п. 4, ст. 25 Директивы 95/46/EC, в список стран, не обеспечивающих адекватную защиту. Во-первых, США не подписали и, следовательно, не ратифицировали Конвенцию N108. Во-вторых, практика защиты персональной информации в США не является достаточно надежной. В данной стране нет специального ведомства, осуществляющего надзор за неприкосновенностью частной жизни и использованием персональной информации. Бюджетно-контрольное управление играет ограниченную роль в разработке политики для федеральных ведомств и не отличается ни активностью, ни эффективностью. Федеральная торговая комиссия наделена полномочиями для надзора за исполнением законов о защите информации о потребительских кредитах и за соблюдением правил честной торговли, но не за обеспечением прав, гарантирующих неприкосновенность частной жизни, кроме тех, которые связаны с нарушениями правил честной торговли. Являясь членом Организации по экономическому сотрудничеству и развитию, США не выполняют, однако, Директивы ОЭСР о защите неприкосновенности частной жизни и международных обменов персональными данными во многих секторах, в том числе в сфере финансов и здравоохранения.

Акт о праве на финансовую приватность, 1978 год (Right to Financial Privacy Act). Положения данного акта призваны регулировать конфиденциальность финансовых записей, хранящихся в различных банковских структурах, заемных, строительных компаниях, страховых обществах и кредитных организациях (финансовые институты) при взаимодействии с государственными органами. Так, финансовые институты не могут предоставлять персональную информацию об их клиентах государственным учреждениям за исключением случаев:

- если клиент авторизовал такую передачу;

- если сведения требуются для проведения судебного или административного расследования либо в соответствии с иными законными нуждами.

Запрашивая право на доступ, государственный орган должен предоставить письменный запрос в соответствующее учреждение, а также уведомить об этом субъекта данных, который, в свою очередь, может подобный запрос опротестовать.

Субъект имеет право требовать компенсации убытков и нарушений в судебном порядке.

Акт о защите приватности в электронных коммуникациях, 1986 год (Electronic Communications Privacy Act). Электронные коммуникации в данном случае определяются как любая передача знаков, сигналов, сведений, письменных, звуковых, изобразительных сообщений и информации иной природы полностью или частично посредством проводной, радиосвязи, электромагнитных волн, фотоэлектрических и фотооптических систем с целью внутренних или международных деловых отношений.

Первая часть данного документа регулирует вопросы сбора информации, содержащейся в коммуникационных потоках (сведения и голосовые сообщения) и ее раскрытия. Акт запрещает вмешиваться в передаваемые сообщения (перехватывать, приостанавливать) любой публичной или частной стороне пока подобное не будет разрешено законодательным актом или судебным ордером. Положения акта накладывают ограничения на использование пеленгующей и отслеживающей аппаратуры.

Вторая часть устанавливает порядок сбора и раскрытие хранимой персональной информации. Доступ к хранимым файлам должен быть исключительно авторизованным. Раскрытие информации возможно в случае согласия субъекта, если это требуется для эффективного исполнения провайдером обязательств по сервису или необходимо для расследования преступлений или иных законных операций.

Субъект вправе потребовать компенсации нарушенных прав в судебном порядке, включая возмещение ущерба, расходы на адвокатов и судебные издержки.

Акт Грамма-Лича-Блайли, 1999 год (Gramm-Leach-Bliley Act). Его положения относятся к деятельности финансовых учреждений, от которых требуется предоставлять потребителям информацию о проводимой ими политике безопасности относительно собираемых персональных данных.

Таким образом, защита персональной информации в США имеет серьезную законодательную основу. Однако, учитывая, что защита персональной информации должна включать также и отлаженные механизмы защиты прав субъекта данных, можно сказать, что такая защита обеспечивается в США лишь отчасти. То есть субъекту приходится самостоятельно регулировать и отслеживать нарушения его прав с вытекающими отсюда издержками времени и средств.

В последние годы в США широко обсуждается вопрос о необходимости разработки законов о неприкосновенности частной жизни для частного сектора. В настоящее время Белый дом и частный сектор всецело полагаются на саморегулирование и считают, что новые законы не нужны - кроме небольших поправок к правилам ведения медицинского учета.

Документ о трансграничной передаче данных “Safe Harbour” (1998 год) призван способствовать соединению Европы и США в единое пространство обмена персональной информацией. Принципы Safe Harbor требуют от компаний предоставлять своим клиентам четкое и понятное уведомление о том, какую информацию они собирают, в каких целях используют, кому она может быть передана. Подобное уведомление необходимо сделать на стадии сбора персональных данных. Частные лица должны иметь возможность запретить сбор данных о себе, если предполагается их передача третьей стороне, или если данные используются в целях, отличных от оговоренных. Использование “чувствительной информации” возможно только в случае однозначного согласия субъекта данных. Если компания собирается обмениваться персональной информацией с третьей стороной, должно быть установлено, что принимающая сторона присоединилась к данному договору, либо иному документу, регламентирующему адекватную защиту персональной информации. Организации обязаны предпринимать необходимые меры для защиты данных от утраты, нецелевого их использования, несанкционированного доступа, случайного или преднамеренного раскрытия, изменения и уничтожения. Организации также обязаны предоставлять субъектам данных доступ к их персональной информации с целью исправления ошибок, внесения дополнений, удаления неверной информации. Организации, обрабатывающие персональные данные, должны обеспечивать субъектам доступ к рабочим механизмам расследования нарушений и возмещения ущерба. Организации обязаны публиковать четкие правила по данным вопросам и быть готовыми подчиниться санкциям в случае неисполнения и нарушения установленных принципов.

Американские исследователи констатируют, что европейская модель предусматривает гораздо более последовательную, полную и эффективную защиту персональных данных. При сходстве основополагающих принципов, сформулированных еще в 70-е годы, американская и европейская модели различаются в том, как эти принципы отражены в конкретном правовом регулировании.