Закон сформировал механизм
защиты прав субъекта персональных данных.
Симметрично к этим правам сформулированы
и обязанности оператора. Установлена
система контроля и надзора, во главе которой
находится уполномоченный орган. Подобная
схема принята и в Европе. Однако в европейском
законодательстве уполномоченный орган,
как правило, является независимым, а у
нас он подчиненный - Федеральная служба
по надзору в сфере связи и массовых коммуникаций
(Россвязькомнадзор, с недавнего времени
– Россвязьнадзор) находится в ведении
Министерства связи и массовых коммуникаций
Российской Федерации. В этом механизме
организационно-технические средства
защиты информационных систем персональных
данных играют вспомогательную роль при
обеспечении прав субъектов персональных
данных. В нашей реальности эти средства
«перетянули одеяло на себя», предлагаемая
ведомствами система технической защиты
информационных систем персональных данных
оказалась громоздкой и дорогой.
Предметом рассмотрения в данной
работе будут, преимущественно, правовые
проблемы реализации Закона.
Первая проблема связана с отношением
регулирующих органов к персональным
данным как к самостоятельному объекту
правовой охраны наряду с государственной
тайной, коммерческой тайной, профессиональной
тайной и т.п. И для этого есть основания,
поскольку в Федеральном законе «Об информации…»
(ст. 9) положения о персональных данных
включены в статью, где перечислены виды
информации ограниченного доступа (государственная,
коммерческая, служебная, профессиональная
тайны). Это создает путаницу, так как требование
конфиденциальности персональных данных
не абсолютно. Открытые персональные данные
также обрабатываются и должны защищаться,
например, на официальных сайтах органов
государственной власти, профессиональных
энциклопедиях и т.п..
В Законе (ст. 3) персональные
данные определяются как «любая информация,
относящаяся к определенному или определяемому
на основании такой информации физическому
лицу (субъекту персональных данных), в
том числе его фамилия, имя, отчество, год,
месяц, дата и место рождения, адрес, семейное,
социальное, имущественное положение,
образование, профессия, доходы, другая
информация». Таким образом, исходя из
Закона, персональные данные – это вид
информации. Определение не связывает
персональные данные с режимом ограниченного
доступа, но по сути, большая часть персональных
данных может находиться в различных режимах
конфиденциальности (врачебная, банковская
тайна, тайна страхования, тайна усыновления
и др.).
Следствием этого противоречия
является указанная выше позиция регулирующих
органов. ФСТЭК предлагает выделять персональные
данные из информационных систем, содержащих
информацию ограниченного доступа и защищаемых
в режиме тайны, что во многих случаях
не реализуемо. Выделение персональных
данных из общего массива охраняемой информации
создает для оператора проблему соотношения
требований по технической защите информации,
а также проблему соотношения прав и обязанностей
субъектов в отношении защищаемой информации.
Вторая проблема связана с несогласованностью
понятия «конфиденциальность информации»
в Федеральном законе «Об информации…»
и понятия «конфиденциальность персональных
данных» в Федеральном законе «О персональных
данных».
В Федеральном законе «Об информации…»
(ст. 2) конфиденциальность информации
это «обязательное для выполнения лицом,
получившим доступ к определенной информации,
требование не передавать такую информацию
третьим лицам без согласия ее обладателя».
В такой конструкции термин «передать»
подразумевает конкретного адресата,
однако его может не быть. Кроме того, согласие
обладателя информации на передачу информации
не может быть единственным условием,
так как законодательство Российской
Федерации, прежде всего законодательство
о безопасности и Федеральный закон «О
персональных данных», предусматривают
и иные законные основания в качестве
исключения из общего правила (наличия
согласия субъекта персональных данных).
Учитывая это, концепция Федерального
закона «О персональных данных» представляется
более точной, он определяет конфиденциальность
персональных данных (ст. 3) как «обязательное
для соблюдения оператором или иным получившим
доступ к персональным данным лицом требование
не допускать их распространения без согласия
субъекта персональных данных или наличия
иного законного основания».
Третья проблема, отчасти связана
с предыдущей: с содержанием понятия «конфиденциальная
информация» в наименовании лицензируемых
видов деятельности, определенных Федеральным
законом «О лицензировании отдельных
видов деятельности» (пункты 10 и 11 ч. 1 ст.
17), и содержанием лицензируемого вида
деятельности (п. 11).
В ФЗ «Об информации..» термин
«конфиденциальная информация» не используется.
Требование «конфиденциальности информации»
распространяется на все режимы, включая
режим секретности (государственная тайна).
А в ФЗ «О лицензировании отдельных видов
деятельности» этот термин сохранился.
Однако важно не столько название, сколько
содержание лицензируемого вида деятельности.
В соответствии с Положением
о лицензировании деятельности по технической
защите конфиденциальной информации от
15 августа 2006 г. N 504 «Под технической защитой
конфиденциальной информации понимается
комплекс мероприятий и (или) услуг по ее
защите от несанкционированного доступа,
в том числе и по техническим каналам,
а также от специальных воздействий на
такую информацию в целях ее уничтожения,
искажения или блокирования доступа к
ней».
Исходя из концепции этого постановления
регулирующие органы выдвигают требование
получения потенциальными операторами
лицензии на техническую защиту конфиденциальной
информации во всех случаях, включая те,
когда обработка персональных данных
осуществляется для собственных нужд
(например, в рамках трудовых отношений),
что не вытекает из положений Закона и
не соответствует духу Федерального закона
«О лицензировании отдельных видов деятельности».
Комитет Государственной Думы по собственности
дал по просьбе Комитета по безопасности
разъяснения о сфере действия Федерального
закона «О лицензировании отдельных видов
деятельности». Согласно этому разъяснению
лицензию на деятельность по технической
защите конфиденциальной информации обязаны
получать только организации, оказывающие
соответствующие услуги в рамках предпринимательской
деятельности, то есть на платной основе.
Деятельность организаций по технической
защите конфиденциальной информации исключительно
для собственных нужд лицензированию
не подлежит. Если учесть, что обязанность
защиты персональных данных возлагается,
за малым исключением, на всех юридических
лиц, то получение лицензии превращается
в чисто фискальную функцию. Следовательно,
положения данного постановления Правительства
требуют уточнения, чтобы оно понималось
однозначно.
Проблемы применения Постановления
Правительства РФ от 17 ноября 2007 г. N 781 «Об
утверждении Положения об обеспечении
безопасности персональных данных при
их обработке в информационных системах
персональных данных»
Первая проблема связана с установленной
этим постановлением классификацией информационных
систем персональных данных «в зависимости
от объема обрабатываемых ими персональных
данных и угроз безопасности жизненно
важным интересам личности, общества и
государства».
Представляется, что предлагаемые
критерии классификации не отражают реальные
угрозы правам субъекта персональных
данных: одни и те же нарушения могут по-разному
оцениваться субъектами персональных
данных. Например, распространение информации
о праве собственности на недвижимость
создает угрозу для одиноких пожилых собственников
и может не восприниматься как угроза
другими субъектами. Кроме того, последствия
распространения персональных данных
зависят от того, кто получил к ним доступ
и каковы его интересы. Таким образом,
нарушение требований по безопасности
обработки персональных данных в соответствии
с данной классификацией может не привести
к возникновению реальных угроз для субъекта
персональных данных. Степень нарушения
своих прав может определить только сам
субъект, а не оператор, от которого это
требуют. Кроме того, программно-технические
средства защиты информационных систем
вряд ли принципиально различаются в зависимости
он количества защищаемых записей.
Вторую проблему составляет
реализация требования к операторам персональных
данных обеспечить защиту каналов связи,
по которым осуществляется обмен персональных
данных. Представляется, что данное требование
может относиться только к системам, не
имеющим выхода в сети связи общего пользования.
Оператор должен приложить усилия для
защиты информации при передаче ее по
каналам связи, но не способен защитить
сами каналы связи. Выделенных (защищенных)
каналов на всех не хватит.
В целом предлагаемые критерии
классификации не вытекают из положений
Закона, а система развиваемых на основе
этого постановления требований многим
операторам представляется труднореализуемой.
Противоречия между Законом
и совместным Приказом ФСТЭК, ФСБ и Минкомсвязи
от 13 февраля 2008 года «Об утверждении Порядка
проведения классификации информационных
систем персональных данных»
Первое противоречие вытекает
из требования выделения персональных
данных, идентифицирующих субъекта персональных
данных из общего числа персональных данных.
В соответствии с Законом к персональным
данным относится «любая информация, относящаяся
к определенному или определяемому на
основании такой информации физическому
лицу». Таким образом, любые персональные
данные идентифицируют (определяют) субъекта
персональных данных.
Согласно Приказу при проведении
классификации определяются категории
обрабатываемых в информационной системе
персональных данных (п. 6), в том числе
категория 3, к которой относятся «персональные
данные, позволяющие идентифицировать
субъекта персональных данных», и категория
2 – «персональные данные, позволяющие
идентифицировать субъекта персональных
данных и получить о нем дополнительную
информацию». Таким образом, приказ понуждает
оператора самостоятельно выделить из
персональных данных те, которые субъекта
«идентифицируют», что противоречит положениям
Закона.
Второе противоречие состоит
в выделении задачи обеспечения конфиденциальности
персональных данных из задач обеспечения
безопасности персональных данных.
В соответствии с п. 8 Приказа
информационные системы подразделяются
на типовые и специальные, при этом к типовым
относятся «информационные системы, в
которых требуется обеспечение только
конфиденциальности персональных данных»,
а к специальным «информационные системы,
в которых вне зависимости от необходимости
обеспечения конфиденциальности персональных
данных требуется обеспечить хотя бы одну
из характеристик безопасности персональных
данных, отличную от конфиденциальности».
Однако Закон обязывает оператора обеспечить
конфиденциальность персональных данных
во всех случаях, предусмотренных Законом,
а также устанавливает требование обеспечения
безопасности персональных данных при
их обработке для всех информационных
систем (ч. 1 ст. 19), причем оператор должен
обеспечить защиту не от одной из угроз,
а от всех, перечисленных в Законе: «от
неправомерного или случайного доступа
к ним, уничтожения, изменения, блокирования,
копирования, распространения персональных
данных, а также от иных неправомерных
действий». Таким образом, Приказ неправомерно
распространяет требование Закона только
на ряд информационных систем и ограничивает
спектр угроз безопасности персональных
данных.
Требования обеспечения конфиденциальности
и безопасности различны по своей природе
и назначению.
Конфиденциальность - это правовой
режим персональных данных, режим ограничения
доступа. Безопасность предполагает принятие
организационных и технических мер для
защиты прав субъектов персональных данных
в том числе и права на конфиденциальность.
Конфиденциальность персональных
данных поддерживается безопасностью,
поэтому нельзя обеспечить конфиденциальность,
не обеспечив безопасность. В свою очередь,
безопасность персональных данных должна
обеспечиваться вне зависимости от конфиденциальности,
поскольку защищаться должна и открытая
информация.
Выявленные проблемы применения
Закона «О персональных данных» требуют совершенствования
законодательства в следующих направлениях:
- уточнение положений Федерального
закона «О персональных данных», с частности
ст. 19 и завершение работы над проектом
федерального закона № 217355-4 «О внесении
изменений в некоторые законодательные
акты Российской Федерации в связи с принятием
Федерального закона «О ратификации Конвенции
Совета Европы о защите физических лиц
при автоматизированной обработке персональных
данных» и Федерального закона «О персональных
данных»;
- подготовка предложений по
уточнению положений Федерального закона
«Об информации…» в части формулировки
понятия «конфиденциальность информации»
и соотношения режимов конфиденциальности;
- внесение изменения в пп. 10
и 11 ч. 1 ст. 17 Федерального закона «О лицензировании
отдельных видов деятельности» в части
уточнения вида лицензируемой деятельности,
а также уточнение положения Постановления
Правительства от 15 августа 2006 г. N 504 «О
лицензировании деятельности по технической
защите конфиденциальной информации»
в части ограничения сферы лицензирования
деятельности по технической защите информации;
- уточнение положений Постановления
Правительства от 17 ноября 2007 г. N 781 «Об
утверждении положения об обеспечении
безопасности персональных данных при
их обработке в информационных системах
персональных данных» в части приведения
в соответствие с законодательством Российской
Федерации, реалиями оборота персональных
данных в стране и ограниченными возможностями
оператора по защите каналов связи;
- приведение положений Приказа
от 13 февраля 2008 года «Об утверждении порядка
проведения классификации информационных
систем персональных данных» в соответствие
с положениями Федерального закона «О
персональных данных».
Список использованной литературы
Конституция Российской Федерации
Федеральный закон N 152-ФЗ от 27.07.2006г. "О персональных данных";
Федеральный закон №149-ФЗ от 27.07.2006г. «Об информации, информационных
технологиях и о защите информации»;
Постановление Правительства РФ от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
Приказом ФСТЭК, ФСБ и Минкомсвязи от 13 февраля 2008 года «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
Лютов Н.Л. Защита персональных
данных: международные стандарты и внутреннее
российское законодательство – М.: «Трудовое
право», № 8, 2010 г.