Сайт создан и поддерживается Фондом развития парламентаризма в России
 
   Законопроекты     Народ о законопроектах     Семинары и круглые столы     Регионы России     Литература На главную   

Текст законопроекта

Экспертная записка к проекту федерального закона "Об информации персонального характера"

Данный законопроект направлен на реализацию норм ч. 1 ст. 23 Конституции РФ, которая устанавливает право на неприкосновенность частной жизни, и ч. 1 ст. 24 Конституции, согласно которой "сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются".

Правовое регулирование работы с персональными данными необходимо в первую очередь для обеспечения прав и свобод личности в условиях, когда широкомасштабное применение ЭВМ позволяет сделать жизнь граждан "прозрачной" для органов государственной власти. Зарубежный опыт законодательный защиты информации персонального характера насчитывает около 25 лет. Первый закон о защите данных, устанавливавший правила хранения и предоставления информации о гражданах, был принят в федеральной земле Гессен (ФРГ) в 1970 году. В 1980-х годах обязательства государства в сфере работы с персональными данными были закреплены в ряде международных документов. Особый интерес представляет Конвенция о защите физических лиц при автоматизированной обработке персональных данных. Согласно Конвенции, "персональные данные" означают информацию, касающуюся конкретного или могущего быть идентифицированным лица ("субъекта данных"). При этом страны, ратифицировавшие Конвенцию, по общему правилу, обязуются применять её к автоматизированным базам персональных данных и к автоматической обработке персональных данных в публичном и частном секторах. Глава 2 Конвенции устанавливает основные принципы защиты данных. Конвенция обязывает Стороны принимать надлежащие меры для охраны персональных данных, накопленных в автоматизированных базах данных, от случайного или несанкционированного разрушения или случайной утраты, а равно от несанкционированного доступа, изменения или распространения.

Согласно ст. 5 Конвенции ("Требования, предъявляемые к данным"), персональные данные, проходящие автоматическую обработку, должны быть получены и обработаны добросовестным и законным образом; должны накапливаться для точно определенных и законных целей и не использоваться в противоречии с этими целями; должны быть адекватными, относящимися к делу и не быть избыточными применительно к целям, для которых они накапливаются; должны быть точными и в случае необходимости обновляться; должны храниться в такой форме, которая позволяет идентифицировать субъектов данных не дольше, чем того требует цель, для которой эти данные накапливаются.

При этом персональные данные о национальной принадлежности, политических взглядах либо религиозных или иных убеждениях, а равно персональные данные, касающиеся здоровья или сексуальной жизни, могут подвергаться автоматической обработке только в тех случаях, когда национальное право предусматривает надлежащие гарантии (ст. 6). Это же правило применяется к персональным данным, касающимся судимости.

Кроме того, Конвенция предусматривает и дополнительные гарантии для субъекта данных (ст. 8). Так, любому лицу должно быть предоставлено право:
a) быть осведомленным о существовании автоматизированной базы персональных данных, о ее главных целях, а также о контролере базы данных, его месте жительства либо юридическом адресе;
b) периодически и без излишних затрат времени или средств обращаться с запросом о том, накапливаются ли в автоматизированной базе данных касающиеся его персональные данные, и получать информацию о таких данных в доступной форме;
с) требовать уточнения или уничтожения таких данных, если они были обработаны с нарушением положений национального права, реализующих основные принципы, изложенные в статьях 5 и 6 Конвенции;
d) прибегнуть к судебной защите нарушенного права, если его запрос либо требование о предоставлении информации, уточнении или уничтожении данных, упомянутые в пунктах b и с настоящей статьи, не были удовлетворены.

Конвенция была открыта для подписания в Страсбурге 28 января 1981 года, и к настоящему времени ратифицирована 27 государствами. Россия, подписав Конвенцию 7 ноября 2001 года, пока её не ратифицировала.

В настоящее время законопроекты о защите информации персонального характера приняты уже более чем в 20 странах мира и, по мере развития процессов информатизации, обработки и распространения информации, которая носит персональный характер, относится к сфере частной жизни отдельных лиц, введение таких законов становится все более актуальным.

С 1995 года, после принятия Директивы Европейского Парламента и Совета Европы 95/46/ЕС от 24 октября 1995 г. "О защите личности в отношении обработки персональных данных и свободном обращении этих данных", развивается новый этап совершенствования правового регулирования проблемы персональных данных. Директива утверждена как обязательная для стран Европейского Совета (ст. 32) и устанавливает, что не позднее 3-х лет после ее принятия всеми странами должны быть осуществлены необходимые для выполнения Директивы юридические, организационные и административные меры.

Актуальность разработки и принятия в России законопроекта о защите информации персонального характера довольно велика. В условиях бурного роста баз персональных данных, создаваемых в последнее десятилетие на основе новейших компьютерных технологий, приоритетной задачей является формирование механизмов защиты граждан от произвольного распространения и незаконного использования информации о них, особенно со стороны криминальных структур. По оценкам экспертов, ежегодный оборот незаконной торговли базами данных в России (имеются в виду многие телефонные базы, базы по жилью и прописке, которые свободно продаются, к примеру, на компьютерных рынках, и даже отдельные базы правоохранительных органов) составляет 50 млн. долларов США. А ущерб, который может быть причинен гражданам в случае незаконного распространения отдельных персональных данных о них, нередко вообще не поддается денежной оценке.

В принципе, отдельные вопросы правового регулирования работы с персональными данными уже затронуты в Федеральном законе "Об информации, информатизации и защите информации" (ст. 11), Основах законодательства Российской Федерации "Об Архивном фонде Российской Федерации и архивах" (ст. 20), Федеральном законе "Об оперативно-розыскной деятельности" (ст.ст. 3, 5, 9, 10, 12, 21), законах Российской Федерации "О государственной тайне" (ст. 5), "О средствах массовой информации" (ст.ст. 41, 43, 46, 51, 57), "О милиции", законодательстве о выборах.

Однако эти нормы, во-первых, не приведены в систему, а во-вторых, они не распространяются на все случаи нарушения конфиденциальности персональных данных (в том числе и средствами массовой информации). Пробелы в законодательстве, низкая системность правовых норм, призванных обеспечить адекватный режим использования персональных данных, отрицательно сказываются на качестве правового регулирования в этой сфере общественных отношений.

Кроме того, согласно Федеральному закону "Об информации, информатизации и защите информации", перечни персональных данных, включаемых в состав федеральных информационных ресурсов, информационных ресурсов совместного ведения, информационных ресурсов субъектов Российской Федерации, информационных ресурсов органов местного самоуправления, а также получаемых и собираемых негосударственными организациями, должны быть закреплены на уровне федерального закона.

В России первый законопроект "Об информации персонального характера" разрабатывался с 1995 года. За это время было подготовлено 12 редакций проекта, в которых осуществлялся учет замечаний и предложений рецензентов. Проект дважды обсуждался на секции Научно-технического совета Комитета при Президенте РФ по политике информатизации, дважды прошел международную экспертизу специалистами Совета Европы. Тем не менее, данный законопроект в Государственной Думе не рассматривался. 3 апреля 1998 года он был внесен в Государственную Думу депутатами О.А. Финько, Ю.М. Нестеровым, Г.К. Волковым, Р.Г. Габидуллиным и В.Е. Цоем, но 20 февраля 2003 года был снят с рассмотрения в связи с отзывом его субъектом права законодательной инициативы.

На основе данного законопроекта был разработан новый законопроект с аналогичным названием, который был внесен в Государственную Думу 20 октября 2000 года депутатами А.А. Кравецем, О.А. Финько, Ф.А. Клинцевичем, И.В. Лебедевым, Б.А. Мартыновым, А.В. Шубиным, К.В. Ветровым, П.И. Коваленко, и находится в настоящее время на рассмотрении.

Действие законопроекта распространяется на федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, органы местного самоуправления, а также юридических лиц, определяемых Правительством Российской Федерации, участвующих в работе с информацией персонального характера.

Как представляется, его действие должно распространяться и на должностных и иных физических лиц, которые в соответствии со своими полномочиями владеют информацией о гражданах, получают и используют её, и, следовательно, должны нести ответственность согласно законодательству Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации (см. ч. 3 ст. 11 Закона "Об информации, информатизации и защите информации").

В ст. 3 законопроекта довольно обстоятельно сформирована система основных понятий и терминов. Тем не менее, к данной статье имеется ряд замечаний. Требует доработки понятие "информация персонального характера (персональные данные)" и его определение.

В законопроекте информация персонального характера (персональные данные) определяется как "зафиксированная на материальном носителе информация о конкретном человеке, отождествленная с конкретным человеком или которая может быть отождествлена с конкретным человеком, позволяющая идентифицировать этого человека прямо или косвенно, в частности посредством ссылки на идентификационный номер или на один или несколько факторов, специфичных для его физической, психологической, ментальной, экономической, культурной или социальной идентичности". Однако в действующем Федеральном законе "Об информации, информатизации и защите информации" применяется иное понятие - "информация о гражданах (персональные данные)", которое определяется как сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность. Как представляется, данные понятия, отражающие одно и то же содержание, должны быть согласованы либо за счет внесения изменений в действующий Федеральный закон, либо за счет изменения системы понятий в законопроекте.

Кроме того, прилагательные "ментальная" и "психологическая", упоминаемые в определении, являются синонимами. Как представляется, речь должна идти о духовной и психологической идентичности.

Нуждаются в доработке и некоторые иные понятия. Так, например, законопроектом вводятся новые понятия, обозначающие обладателей и пользователей персональных данных – "держатель (обладатель) массива персональных данных" и "получатель персональных данных". Вместе с тем в Федеральном законе "Об информации, информатизации и защите информации" для обозначения указанных лиц уже использованы такие термины, как "владелец информационных ресурсов, информационных систем, технологий и средств их обеспечения" и "пользователь (потребитель) информации", в связи с чем в этой части нормы законопроекта нуждаются в согласовании с упомянутым Федеральным законом.

В главе 2 законопроекта ("Условия законности работы с персональными данными") требуется уточнить форму и процедуру, которые могут гарантировать, что согласие субъекта персональных данных выражено "недвусмысленно". Следует уточнить (возможно, дать определение в ст. 2 законопроекта) и содержание понятия "жизненные интересы субъекта персональных данных", так как данное понятие четко не определено, но играет важнейшую роль в законопроекте. Например, сбор, накопление, хранение и использование персональных данных, раскрывающих расовое или этническое происхождение, национальную принадлежность, политические взгляды, религиозные или философские убеждения, а также касающихся состояния здоровья и сексуальных наклонностей, допускаются в случае, если это "необходимо для защиты жизненно важных интересов субъекта данных, иного лица или соответствующей группы лиц".

Не совсем корректным является употребление в ст. 5 законопроекта словосочетания "выполнение федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления своей компетенции". Как представляется, речь может идти о реализации компетенции.

Правовой режим персональных данных, установленный в ст. 6 законопроекта, не в полной мере соответствует Федеральному закону "Об информации, информатизации и защите информации". В частности, согласно п. 1 ст. 6 законопроекта, персональные данные не во всех случаях относятся к категории конфиденциальной информации, в то время как в п. 1 ст. 11 названного Федерального закона прямо указано, что персональные данные относятся к категории конфиденциальной информации. В связи с этим в законопроекте должно быть предусмотрено внесение изменений в настоящий Закон.

Среди оснований снятия режима конфиденциальности персональных данных в законопроекте установлены: обезличивание персональных данных, желание субъекта персональных данных, а также истечение семидесятипятилетнего срока хранения персональных данных.

Как представляется, "обезличивание персональных данных", то есть изъятие из персональных данных той их части, которая позволяет отождествить их с конкретным человеком, может быть исключено из перечня оснований, так как "обезличивание" персональных данных приводит к тому, что они фактически перестают быть персональными (по смыслу определения персональных данных в статье 2 законопроекта).

Что касается "желания субъекта персональных данных", то здесь требуется уточнить форму и процедуру, которые могут гарантировать, что такое "желание" выражено ясно, добровольно и недвусмысленно. Кроме того, следует согласовать употребление в законопроекте понятий "желание субъекта персональных данных" и "согласие субъекта персональных данных", так как это имеет существенное значение для формирования общедоступных массивов персональных данных, для которых, согласно законопроекту, не устанавливается режим конфиденциальности.

В соответствии со ст. 7 законопроекта, общедоступные массивы персональных данных (справочники, телефонные книги, адресные книги и т. п.) могут создаваться в целях информационного обеспечения общества. В общедоступные массивы персональных данных с письменного согласия субъекта могут включаться следующие персональные данные: фамилия, имя, отчество, год и место рождения, адрес местожительства, номер контактного телефона, сведения о профессии, иные сведения, предоставленные субъектом и/или полученные из открытых источников, других общедоступных массивов персональных данных, если эти источники сформированы с согласия субъекта персональных данных. В случае, если персональные данные получены держателем (обладателем) общедоступного массива персональных данных из открытых источников либо иных общедоступных массивов персональных данных, держатель (обладатель) общедоступного массива информирует субъекта о содержании его персональных данных, об источниках получения и цели использования.

Как представляется, в данной статье следует уточнить характер и содержание "иных сведений, полученных из открытых источников, сформированных с согласия субъекта персональных данных", а также форму выражения такого согласия. Кроме того, целесообразно отметить, должен ли держатель (обладатель) общедоступного массива просто информировать субъекта о содержании его персональных данных, или запрашивать подтверждение его согласия (возможно, в письменном виде).

В целом положительной оценки заслуживает норма законопроекта, согласно которой держатель (обладатель) персональных данных должен безотлагательно исключить персональные данные конкретного субъекта из общедоступного массива персональных данных на основании распоряжения этого субъекта или решения правоохранительного органа. Однако, как представляется, требуется уточнить форму "распоряжения" субъекта персональных данных и указать, достаточно ли только устного волеизъявления, или необходима письменная форма.

Существенным недостатком законопроекта является отсутствие четкого регулирования вопросов ответственности за несанкционированное использование данных персонального характера.

Согласно ст. 15 законопроекта, в случае установления неправомерности действий держателя (обладателя) массива персональных данных при работе с персональными данными, субъект данных имеет право на возмещение убытков и (или) компенсацию морального вреда в судебном порядке. В случае передачи одних и тех же персональных данных от одного держателя (обладателя) к другому и невозможности определения конкретного виновника нанесения ущерба, ответственность несет каждый держатель (обладатель) этих данных. Однако неясно, о какой конкретно форме гражданско-правовой ответственности идет речь – солидарной, субсидиарной или долевой.

Кроме того, отметим, что законопроект фактически снижает уровень ответственности за несанкционированное, недобросовестное и незаконное использование данных персонального характера. В соответствие с Федеральным законом "Об информации, информатизации и защите информации", любые персональные данные относятся к числу конфиденциальной информации, а согласно ст. 13.14 Кодекса РФ об административных нарушениях, разглашение информации с ограниченным доступом (в том числе конфиденциальной информации) является административным правонарушением.

В то же время в законопроекте не только часть персональных данных выведена из категории конфиденциальной информации, но и отсутствует упоминание о возможности применения административной ответственности.

Таким образом, законопроект подлежит существенной доработке, прежде всего в части конкретизации формы и процедуры предоставления субъектом персональных прав своего согласия, а также уточнения форм ответственности за использование данных персонального характера без надлежащего согласия субъекта персональных данных.


Экспертиза подготовлена Фондом развития парламентаризма в России в июле 2004 г.


   Законопроекты     Народ о законопроектах     Семинары и круглые столы     Регионы России     Литература На главную   
   Copyright © 1999–2005 Фонд развития парламентаризма в России        Letter to Admin