Научно-методическая конференция
«ИНТЕРНЕТ И СОВРЕМЕННОЕ ОБЩЕСТВО»

ПРАВОВЫЕ ПРОБЛЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИСПОЛЬЗОВАНИИ СЕТИ ИНТЕРНЕТ В РОССИИ

В.Б. Наумов

Санкт-Петербургский институт информатики и автоматизации РАН
Санкт-Петербург

Информационные права граждан представляют собой комплексный правовой институт, имеющий обширное количество источников. В них, несмотря на наличие декларированных прав граждан, отсутствуют прямые механизмы обеспечения соблюдения таковых, а также не производится детализация правомочий граждан применительно к различным сферам общественной жизни, не устанавливаются конкретные обязанности государственных органов, организаций и граждан по соблюдению этих прав. Поэтому, в силу отсутствия в Российской Федерации традиций защиты информационных прав граждан и предметной судебной практики, остается пока надеяться на добросовестность субъектов информационных отношений, складывающихся в связи с использованием информационных и коммуникационных технологий, а также сети Интернет, и их понимания довольно несбалансированного российского законодательства.

Любые информационные ресурсы и системы физических и юридических лиц, органов государственной власти дают потенциальную возможность нарушать информационные права граждан, их использующих, в частности, путем сбора информации о пользователе.

Кто имеет организационно-техническую возможность сбора информации о пользователе и его компьютере? Владельцы ресурсов, получатели электронных писем, провайдеры пользователя, контролирующие доступ последнего в Сеть и имеющие в своем распоряжении информацию о пользователе, третьи лица, имеющие самые различные намерения вплоть до уголовно-наказуемых, другие лица.

При анализе рассматриваемой правовой проблемы защиты прав граждан будем считать, что работа пользователя осуществляется в сети Интернет и имеется возможность, в частности, получения и использования комплексно или раздельно следующей информации:

1. IP-адрес подключенного к сети Интернет компьютера и сведений о провайдере, услуги которого оказываются пользователю.

2. Адрес электронной почты.

3. Сведения о составе установленного программного обеспечения и режимах работы компьютера.

4. Информация, получаемая посредством технологии cookies, о характере посещений пользователем Веб-сайтов и производимых им на них действиях, в том числе всевозможные пароли и логины для доступа к информационных ресурсам и сервисам.

5. Личная информация, введенная самим пользователем при его работе с различными Веб-сайтами и ресурсами сети Интернет.

6. Информация о пользователе, имеющаяся у провайдера в силу оказания последним соответствующих телекоммуникационных услуг, включая пароли и логины для доступа к информационным систем провайдера.

В Российской Федерации применительно к исследуемой проблеме действуют всем известные базовые информационные нормы статей 23 и 24 Конституции Российской Федерации, гарантирующие право на неприкосновенность частной жизни, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, а также утверждающие, что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается.

Данные нормы должны закреплять содержание и характер информационных процессов, происходящих в сети Интернет. При этом другая конституционная норма, декларирующая право свободы поиска, передачи, производства информации (п.4 ст. 29 Конституции РФ), предоставляет соответствующие права субъектам информационных отношений только в случае соблюдении таковыми законных интересов и прав других субъектов, т.к. в ней содержится указание на реализацию перечисленных действий только при осуществлении «любым законным способом» [1]. Приведенные гарантии информационных прав граждан раскрываются в отечественном законодательстве, регулирующем отношения в сфере информатизации (информационном законодательстве) [2].

В федеральном законе от 20 февраля 1995 года N24-ФЗ «Об информации, информатизации и защите информации» (далее - закон «Об информации») вводится институт персональных данных. Понятие последних определяется в ст. 2 закона «Об информации»:

«информация о гражданах (персональные данные) - сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность».

Персональные данные относятся законом «Об информации» к категории конфиденциальной информации [3], которая, в свою очередь, относится к информации с ограниченным доступом (ст.ст. 10, 11 закона «Об информации»). Основная норма, защищающая информационные права граждан, содержится в ч.2. п.1 ст. 11 закона «Об информации»:

«Не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения».

Представляется, что данная норма трактуется шире, нежели данное в законе определение персональных данных, что, несомненно, обеспечивает граждан дополнительными гарантиями. Собственно, это определение можно назвать весьма аскетичным. Для сравнения, в Модельном законе «О персональных данных», принятом в октябре 1999 года на четырнадцатом пленарном заседании Межпарламентской ассамблеи государств-участников СНГ [4], в ст. 2 дается более развернутое по сравнению с законом «Об информации» определение персональных данных:

«Персональные данные - информация (зафиксированная на материальном носителе) о конкретном человеке, которая отождествлена или может быть отождествлена с ним. К персональным данным относятся биографические и опознавательные данные, личные характеристики, сведения о семейном, социальном положении, образовании, профессии, служебном и финансовом положении, состоянии здоровья и прочие».

Нужно заметить, что это определение сформулировано в духе Директивы 95/46/EC Европарламента и Европейского Совета «О защите физических лиц в отношении обработки персональных данных и о свободном обращении этих данных» от 24 декабря 1995. В других неевропейских странах, в первую очередь, в США, стремятся, наоборот, как можно более точно и исчерпывающе раскрыть в законе указанную категорию данных [5].

В Российской Федерации в ч. 1 п. 1 ст. 11 закона «Об информации» содержится следующая норма:

«Перечни персональных данных, включаемых в состав федеральных информационных ресурсов, информационных ресурсов совместного ведения, информационных ресурсов субъектов Российской Федерации, информационных ресурсов органов местного самоуправления, а также получаемых и собираемых негосударственными организациями, должны быть закреплены на уровне федерального закона».

Однако в связи с отсутствием на настоящий момент соответствующего закона данная норма порождает серьезный пробел в законодательстве об информатизации [6]: какие данные о гражданах относить к персональным, а какие нет?

Нужно отметить, что в ряде нормативно-правовых актов Российской Федерации из других отраслей законодательства содержатся более конкретные нормы о том, что же считать персональными данными.

Так, например, в части первой Налогового Кодекса Российской Федерации [7] в ст. 84 «Порядок постановки на учет, переучета и снятия с учета. Идентификационный номер налогоплательщика» перечисляются следующие персональные данные: фамилия, имя, отчество; дата и место рождения; пол; адрес места жительства; данные паспорта или иного документа, удостоверяющего личность налогоплательщика; гражданство. В Трудовом Кодексе Российской Федерации [8], содержащем целую главу о персональных данных (гл. 14), понятие персональных данных работника раскрывается следующим образом:

«Персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника» (ч.1 ст. 85).

Правда, в последующей статье законодатель определяет другую, отсылочную, норму, замыкая, тем самым, своеобразный понятийный круг:

«При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, настоящим Кодексом и иными федеральными законами» (п. 2 ст. 86)

Применительно к использованию информационных технологий и сети Интернет в той же статье 86 (п. 6) приводится интересная норма:

«при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения».

Таким образом, в связи с отсутствие предметных норм, связанных с раскрытием состава сведений, относящихся к персональным данным, существуют различные варианты подходов к вопросу о том, какие собираемые и обрабатываемые данные при работе в сети Интернет охраняются законом, а какие - нет.

Возможно трактовать данный вопрос узко, исходя из определения понятия персональных данных в законе «Об информации», где приводится такой дополнительный существенный критерий, как идентификация личности, позволяющий относить или не относить определенную информацию к персональным данным.

Однако, возможно, исходя из объективной сложности разделения информации на идентифицирующую личность или не идентифицирующую (идентифицирующую не в полной мере), учитывая норму ч.2. п.1 ст. 11 закона «Об информации» и опираясь на конституционный принцип неприкосновенности частной жизни, предположить следующий спорный тезис: вся информация, которая возникает в процессе использования гражданином информационных систем и ресурсов и для которой у последнего отсутствует прямое волеизъявление на ее распространение, может быть отнесена к персональным данным [9].

Из рассмотренного перечня получаемых о пользователе сведений IP-адрес, сведения об установленном программном обеспечении и режимах работы компьютера идентифицируют, в первую очередь, используемые информационные технологии. Без наличия дополнительной информации (например, о том, что определенное программное обеспечение зарегистрировано за определенным пользователем) сделать достоверный вывод о том, что эти данные идентифицируют пользователя, не представляется возможным. Поэтому данные сведения отнести к персональным данным не представляется возможным и, главное, нужным. Кстати, если бы это было бы сделано, то это бы могло бы привести к серьезным (или даже катастрофическим) изменениям - пришлось бы менять большинство стандартов и протоколов обмена данных в сети Интернет.

Информация, получаемая посредством технологии cookies, в ряде случаев может быть отнесена к персональным данным (например, в том случае, когда с ее помощью хранятся пароли и логины для доступа к информационных ресурсам и сервисам), а в ряде случаев - нет (например, когда в файлах cookies записываются только адреса сайтов, которые посетил пользователь).

Однозначно можно заключить, что к персональным данным необходимо отнести электронную почту [10] и самостоятельно вводимые пользователем сведения, позволяющие его идентифицировать. Можно согласиться с авторами издания «Интернет и гласность», что ограничительный характер распространения электронных адресов проистекает из необходимости соблюдения требований по защите персональных данных [11].

Очень важна информация, собираемая о пользователе провайдером. Когда провайдер заключает с пользователем договор, то обычно ему становятся известны фамилия и имя пользователя, его паспортные данные, место проживания, логин и пароль доступа к услугам и сервисам провайдера. Помимо этой информации, при работе пользователя у провайдера скапливаются данные о том, с какими ресурсами и когда работал пользователь. Весь этот комплекс данных однозначно относится к частной жизни пользователя и включает в себя персональные данные. Наличие последних позволяет идентифицировать с пользователем и информацию о его работе в сети Интернет, что дает возможность, например создать подробный портрет информационных пристрастий и предпочтений личности.

Таким образом, наличие в массиве данных о пользователе «бесспорных» персональных данных фактически делает весь массив персональными данными, поэтому провайдер обязан предпринимать меры по защите всех имеющихся в его распоряжении сведений о пользователе.

В связи с эти закономерна поправка, предлагаемая в ст. 50 проекта федерального закона N 228044-3 «О внесении изменений и дополнений в Федеральный закон «О связи»» [12], внесенного Правительством Российской Федерации в октябре этого года на рассмотрение в Государственную Думу РФ:

«1. Сведения об абонентах и оказываемых им услугах связи, ставшие известными операторам связи в силу исполнения служебных обязанностей, являются конфиденциальной информацией и подлежат защите в соответствии с законодательством, регламентирующим защиту такой информации.

К сведениям об абонентах относятся фамилия, имя, отчество абонента - физического лица, название и персональные данные сотрудников абонента - организации, адрес абонента или адрес установки оконечного оборудования (абонентского устройства), псевдоним, абонентские номера и другие данные, позволяющие однозначно идентифицировать абонента или его оконечное оборудование (абонентское устройство), информация из баз данных автоматизированных систем расчета за услуги связи.

...

3. Операторы связи вправе использовать созданные ими базы данных об абонентах для осуществления справочно-информационного обслуживания, в том числе для подготовки и распространения изданий различными способами (печатным, на магнитных носителях, с использованием телекоммуникационных технологий и другими).

...

Сведения об абонентах - физических лицах не могут быть включены в справочно-информационные издания и не могут использоваться для справочно-информационного обслуживания без письменного согласия этих абонентов. ...»

В итоге можно заключить, что тезис об отнесении всех собираемых сведений к персональным данным, представляется излишне смелым. Тем не менее, их можно отнести к сведениям, которые в определенный момент могут стать персональными данными. Т.е., они хоть и не имеют важного статуса, но охраняются законом с того момента, когда наличествуют основания связать их с конкретным или предполагаемым физическим лицом, что порождает требование о том, что их сбор, хранение, использование и распространение без согласия соответствующего лица запрещено.

Как может быть выражено указанное согласие? Во-первых, в явной форме, например, в результате ответа на запрос на страницах сайта. Таковой прием очень часто используется при всевозможных мошенничествах с использованием сети Интернет [13], когда доверчивые пользователи, покоренные красивым дизайном и броскими брендами, не сомневаясь, вводят требуемые сведения, вплоть до номеров кредитных карт.

Во-вторых, что особо важно для технологий сети Интернет, в конклюдентной форме, т.е., когда сами действия, осуществляемые пользователем, позволяют заключить, что он дал согласие на использование собственных персональных данных. Например, если пользователь при обсуждении того или иного вопроса опубликовал в сети Интернет свой адрес электронной почты на какой-либо дискуссионной доске объявлений, то в результате осуществления данного действия он предоставил возможность участникам дискуссии и просто читателям доски объявлений использовать его.

В приведенном примере представляется важным вопросом определение пределов возможности использования опубликованного адреса электронной почты. Возможно предположить, что сама публикация электронного адреса не предполагает разрешения третьим лицам, сосканировавшим данный адрес со страниц доски объявлений с помощью специализированных программ, рассылать на данный адрес, например, рекламные сообщения. Более строго говорить о том, разрешал ли владелец почты использовать свой адрес в целях, отличных от целей дискуссии, можно только при наличии предупреждения о пределах использования адреса, либо при анализе условий использования информации, опубликованной на доске объявлений, которые должны быть разработаны и опубликованы ее владельцем.

Следует также заметить, что наличие или отсутствие конклюдентного согласия пользователя зависит от трудно определяемого для владельцев информационных ресурсов, провайдеров и третьих лиц уровня осведомленности пользователя о характере работы используемого аппаратно-программного обеспечения. Например, как было показано выше, от пользователя зависит, использовать ли технологию cookies и в какой мере. Тем не менее, можно предположить, что просто наличие данной возможности у пользователя не дает оснований ссылаться на его волеизъявление, а владельцам ресурсов и систем целесообразно в явной форме указывать и/или запрашивать согласие пользователя на сбор и использование тех или иных сведений о пользователе и его аппаратно-программном обеспечении. Конечно, частота и характер запросов о согласии пользователя должны выбираться разумно и не заключаться в абсурдном появлении форм запросов каждый раз при загрузке нового файла. Здесь главным требованием может являться добросовестность, руководствуясь которой владелец ресурса или системы заранее предупреждает о своей политике по использованию данных о пользователях.

Возвращаясь к вопросу определения состава персональных данных и режима их использования нужно принимать во внимание ряд других актуальных соображений.

Во-первых, при анализе проблемы использования персональных данных в сети Интернет и защиты права на неприкосновенность частной жизни нужно принимать в расчет то, что повсеместно распространенное и используемое программное обеспечение не гарантирует того уровня информационной защиты, при котором пользователь информирован обо всех существенных обстоятельствах работы на компьютере, и поэтому очень часто имеют место ситуации, когда в силу наличия т.н. «дыр» в последнем информация о пользователе собирается путем несанкционированного доступа к его компьютерной системе.

И во-вторых, при формировании больших массивов данных, состоящих из сведений различного типа (например, IP-адреса и cookies), их специальной статистической обработке, а также сопряжении со сведениями, получаемыми из других источников, напрямую не относящихся к сети Интернет, возможно предположить наличие ситуации перехода количества в качество, т.е., создание условий, когда отдельные элементы массивов данных не позволяют однозначно идентифицировать пользователя, но вся совокупность обработанных данных дает такую возможность. Известным примером такого перехода от правомерного к неправомерному может служить ситуация, которая имела место в 1999-2000 годах с технологией американской компании DoubleClick, которая, по мнению известной общественной организации Electronic Privacy Information Center (EPIC), создала систему, нарушавшую информационные права потребителей в сети Интернет.

Исходя из вышесказанного и базируясь на нормах закона «Об информации» (в первую очередь, в силу ст.ст. 12 и 14), можно сделать следующий важный практический вывод: лицам, осуществляющим сбор и обработку персональных данных и сведений, содержащих информацию о пользователях, необходимо максимально корректно перед началом процессов сбора и обработки информации определить или в общих двухсторонних соглашениях с пользователями (например, в договорах провайдера с его пользователями), или в специальных соглашениях по использованию тех или иных ресурсов и систем в сети Интернет существенные условия организации предметных информационных процессов, а также права и обязанности сторон друг перед другом и третьими лицами.

Принимая во внимание вышеизложенное, владельцам информационных ресурсов и сервисов, провайдерам, производителям программного обеспечения целесообразно при работе с пользователями:

Возможно указать, в результате каких действий гражданина или третьих лиц прекращается охрана собираемых о нем персональных данных. Также, уже с целью защиты интересов лиц, собирающих информацию, целесообразно определить гражданскую ответственность пользователей за предоставление недостоверной информации. Во всех названных действиях необходимо помнить, что за нарушение режима защиты персональных данных может наступить гражданская, административная и уголовная ответственность.

В завершение приведенного краткого анализа можно сказать следующее.

Анонимность (сохранение в тайне информации о пользователе) и публичность его действий в силу особенностей сервисов, стандартов и протоколов в сети Интернет - суть две стороны одного явления доступа и использования сети Интернет и обеспечить полностью либо одно, либо другое как техническими, так и организационно-правовыми методами представляется на настоящий момент невозможным.

В настоящее время отечественное законодательство о персональных данных содержит значительное количество пробелов и нуждается в систематизации, в силу чего однозначно отнести те или иные сведения о пользователе и его компьютерном аппаратно-программном обеспечении к персональным данным нельзя. Кроме того, также сложно достоверно и однозначно определить, является то или иное действие по использованию ресурса или системы конклюдентым согласием пользователя на сбор персональных данных. Представляется, что пока более всего адекватных уровню общественных отношений норм содержится в Модельном законе.

В Российской Федерации нет органа государственной власти, отвечающего за защиту персональных данных пользователей, отсутствуют соответствующие инициативы и не разрабатывается предметных программ, которые бы были посвящены защиты информационных прав граждан при использовании информационных технологий.

ПРИМЕЧАНИЯ

1. На этот счет в 428 Резолюции Консультативной Ассамблеи Совета Европы (раздел «С») говорится следующее: «В случае противоречия между правом на свободу информации и на уважение личной жизни приоритет имеет право на уважение личной жизни». См. с. 274 учебника «Информационное право», авторы Бачило И.Л., Лопатин В.Н., Федоров М.А., Юридический центр Пресс, Санкт-Петербург, 2001.

2. Теория вопроса, связанная с институтом неприкосновенности частной жизни применительно к информационным процессам, раскрыта в главе 8 учебника «Информационное право», авторы Бачило И.Л., Лопатин В.Н., Федоров М.А., Юридический центр Пресс, Санкт-Петербург, 2001.

3. В ст. 2 закона «Об информации» конфиденциальная информация определяется как «документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации», а документированная информации в силу той же статьи - как «зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать».

4. Принят Постановлением N 14-19 от 16 октября 1999 года Межпарламентской ассамблеи государств-участников СНГ.

5. См., например, законопроект штата Нью-Йорк (New York Senate Bill 4353, внесен 11 апреля 2001 года), закон 2001 года штата Аризона (House Bill 2351, an Act amending Title 44, Arizona revised statutes, by adding chapter 29 (relating to customer records). Более подробно об иностранном опыте защиты информационных прав граждан см. главу «Персональные данные в сети Интернет» в книге Наумова В.Б. «Право и Интернет: очерки теории и практики» (М.: Книжный дом «Университет», 2002. - 432 с.: ил.).

6. Помимо указанного пробела для настоящего исследования важно также и то, что до сих пор не установлен предусмотренный п.4 ст. 11 закона «Об информации» порядок обязательного лицензирования деятельности негосударственных организаций и частных лиц, связанной с обработкой и предоставлением пользователям персональных данных, а также не приняты нормы, связанные с установлением режима защиты информации в отношении персональных данных, что в соответствии п. 1 ст. 21 должно определяться федеральным законом.

7. Федеральный закон от 31 июля 1998 года N 146-ФЗ в ред. федеральных законов от 09.07.1999 N 154-ФЗ, от 02.01.2000 N 13-ФЗ, от 05.08.2000 N 118-ФЗ (ред. 24.03.2001), от 28.12.2001 N 180-ФЗ от 29.12.2001 N 190-ФЗ).

8. Федеральный закон от 30 декабря 2001 года N 197-ФЗ, принят Государственной Думой 21 декабря 2001 года. Кодекс введен в действие с 1 февраля 2002 года.

9. Подробнее об указанном подходе к рассмотрению институт персональных данных можно ознакомиться в работе Сергиенко Л.А., Тиновицкой И.Д. «Субъективные права в информационной сфере» (Проблемы информатизации, N 3, 2000), где, в частности, говорится о том, что имеет право на существование «широкое толкование персональных данных, которое включает не только сведения о частной жизни, но и информацию об особенностях, определяющих физическое лицо в общественной жизни, о факторах, специфичных для его физической, психологической, ментальной, экономической, культурной или социальной идентичности» (стр. 25).

10. В нескольких странах мира адрес электронной почты законодательно включен в состав персональных данных. Например, таковое произошло в Аргентине с ноября 2001 года.

11. См. с. 99 издания Волчинская Е., Терещенко Л., Якушев М. Интернет и гласность. М., 1999.

12. Адрес текста законопроекта на сайте Министерства РФ по связи и информатизации (http://www.minsvyaz.ru/docs/newlow3.html).

13. См. Письмо Федеральной Комиссии по рынку ценных бумаг от 20 января 2000 г. N ИБ-02/229 «О возможных мошеннических схемах при торговле ценными бумагами с использованием сети Интернет», информация в котором подготовлена по результатам анализа типичных мошеннических действий, выявленных Комиссией по ценным бумагам и биржам США.

[Аннотация на английском языке]

Опубликовано: Наумов В.Б. Правовые проблемы защиты персональных данных при использовании сети Интернет в России // Технологии информационного общества - Интернет и современное общество: труды V Всероссийской объединенной конференции. СПб., 25 - 29 ноября 2002 г. СПб.: Изд-во С.-Петерб. ун-та, 2002. С. 44-50.

Ориг. URL — http://ims2002.nw.ru/02-r1f19.html