В июне 2006 года был принят Федеральный закон №152-ФЗ «О персональных данных», в начале 2007 года он вступил в силу. Однако реализация началась существенно позже, поскольку в силу многочисленных административных пертурбаций функции уполномоченного органа по защите прав субъектов персональных данных закреплялись то за одним, то за другим органом исполнительной власти. Подзаконные акты Правительства и ведомств появились также с опозданием. Таким образом проблемы реализации закона стали достаточно очевидными именно сейчас.
Защита персональных данных обеспечивает реализацию конституционных прав человека на неприкосновенность частной жизни, личную и семейную тайну (ст. 23 Конституции РФ) и ограничение сбора, хранения, использования и распространения информации о частной жизни (ст. 24, там же). С развитием информационных технологий, созданием баз данных возникла новая угроза этим правам – возможность легкого копирования и объединения этих данных. Первыми эту угрозу осознали европейские страны, которые приняли в 1981 году Конвенцию Совета Европы о защите частных лиц применительно к автоматической обработке персональных данных, а затем в 1995 году Директиву Европейского парламента и Совета Европейского Союза о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных. Россия, ратифицировав в 2005 году указанную Конвенцию, обязана была принять адекватное национальное законодательство.
Законодательство о персональных данных не ограничивается базовым федеральным законом. В настоящее время на рассмотрении Государственной Думы находится проект федерального закона о внесении изменений в законодательные акты Российской Федерации в связи с принятием Федерального закона «О персональных данных». Доработка этого законопроекта напрямую связана с результатами применения базового закона. Кроме того, первые результаты уже заставляют задуматься об эффективности положений самого базового закона.
Более 30 федеральных законов устанавливают особенности работы с персональными данными в отдельных областях[1]. Основы информационного законодательства формирует Федеральный закон «Об информации, информационных технологиях и о защите информации» (№149-ФЗ от 27 июля 2006 года) (далее – ФЗ «Об информации…).
В 2007-2008 гг. были приняты подзаконные нормативные акты Правительства РФ:
Постановление Правительства РФ от 17 ноября 2007 г. № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
Постановление Правительства РФ от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Также были приняты подзаконные нормативные правовые акты ведомств:
Приказ Россвязьохранкультуры от 28 марта 2008 г. № 154 «Об утверждении положения о ведении реестра операторов, осуществляющих обработку персональных данных»;
Приказ Россвязькомнадзора от 17 июля 2008 г. № 08 «Об утверждении образца формы уведомления об обработке персональных данных»;
Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».
В середине 2008 года были выпущены Методические документы ФСТЭК России, имеющие гриф «ДСП»:
«Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»,
«Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»,
«Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных».
Для такого ограничительного грифа, по нашему мнению, нет юридических оснований. Данное утверждение базируется на следующей логике: ограничение доступа к информации означает ограничение конституционных прав граждан, которое в соответствии с ч. 3 ст. 55 Конституции РФ должно быть установлено федеральным законом, это же требование содержится в ч. 4 ст. 9 Федерального закона «Об информации…». Гриф «ДСП» федеральным законом не установлен. Это положение необходимо исправлять.
Методические документы ФСБ, подобного грифа не имеют и в настоящее время они размещены на сайте Россвязьнадзора:
«Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных»;
«Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации».
Складывающаяся практика применения Федерального закона «О персональных данных» (далее – Закон) выявила несколько групп проблем: правовые, организационные и финансовые.
Проблемы правового характера возникли в связи с неоднозначностью положений Закона, которые по-разному трактуются государственными регуляторами и операторами, требуют конкретизации, уточнений и разъяснений. В частности, это относится к конкретизации понятия «персональные данные», месте персональных данных в системе информации ограниченного доступа, противоречиям между федеральными законами и др.
Организационные проблемы связаны с ограниченным ресурсом уполномоченного органа по защите прав субъектов персональных данных, что не позволяет ему выполнять функции надзора в полном объеме. Кроме того, нормативные правовые и методические акты уполномоченных ведомств, содержащие требования к операторам информационных систем персональных данных, были выпущены с опозданием, поэтому не все операторы имели возможность заложить затраты на реализацию этих требований в бюджеты 2009 года и, соответственно, могут не уложиться в срок, установленный Законом – 1 января 2010 года.
Финансовые проблемы связаны, прежде всего, с тем, что при внесении Правительством РФ в Государственную Думу проекта федерального закона «О персональных данных» затраты на реализацию Закона из средств федерального бюджета не предусматривались. Тем не менее, выполнение органами государственной власти, органами местного самоуправления, бюджетными организациями требований основных регуляторов (ФСТЭК и ФСБ) по обеспечению безопасности обработки персональных данных требует резкого увеличения расходов из бюджетов всех уровней, которые не планировались.
Закон сформировал механизм защиты прав субъекта персональных данных. Симметрично к этим правам сформулированы и обязанности оператора. Установлена система контроля и надзора, во главе которой находится уполномоченный орган. Подобная схема принята и в Европе. Однако в европейском законодательстве уполномоченный орган, как правило, является независимым, а у нас он подчиненный – Федеральная служба по надзору в сфере связи и массовых коммуникаций (Россвязькомнадзор, с недавнего времени – Россвязьнадзор) находится в ведении Министерства связи и массовых коммуникаций Российской Федерации. В этом механизме организационно-технические средства защиты информационных систем персональных данных играют вспомогательную роль при обеспечении прав субъектов персональных данных. В нашей реальности эти средства «перетянули одеяло на себя», предлагаемая ведомствами система технической защиты информационных систем персональных данных оказалась громоздкой и дорогой.
Предметом рассмотрения в данной статье будут, преимущественно, правовые проблемы реализации Закона.
Противоречия между федеральными законами и неточности их положений, допускающие неоднозначное толкование
Первая проблема связана с отношением регулирующих органов к персональным данным как к самостоятельному объекту правовой охраны наряду с государственной тайной, коммерческой тайной, профессиональной тайной и т.п. И для этого есть, к сожалению, основания, поскольку в Федеральном законе «Об информации…» (ст. 9) положения о персональных данных включены в статью, где перечислены виды информации ограниченного доступа (государственная, коммерческая, служебная, профессиональная тайны). Это создает путаницу, так как требование конфиденциальности персональных данных не абсолютно. Открытые персональные данные также обрабатываются и должны защищаться, например, на официальных сайтах органов государственной власти, профессиональных энциклопедиях и т.п..
В Законе (ст. 3) персональные данные определяются как «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация». Таким образом, исходя из Закона, персональные данные – это вид информации. Определение не связывает персональные данные с режимом ограниченного доступа, но по сути, большая часть персональных данных может находиться в различных режимах конфиденциальности (врачебная, банковская тайна, тайна страхования, тайна усыновления и др.).
Следствием этого противоречия является указанная выше позиция регулирующих органов. ФСТЭК предлагает выделять персональные данные из информационных систем, содержащих информацию ограниченного доступа и защищаемых в режиме тайны, что во многих случаях не реализуемо. Выделение персональных данных из общего массива охраняемой информации создает для оператора проблему соотношения требований по технической защите информации, а также проблему соотношения прав и обязанностей субъектов в отношении защищаемой информации.
Вторая проблема связана с несогласованностью понятия «конфиденциальность информации» в Федеральном законе «Об информации…» и понятия «конфиденциальность персональных данных» в Федеральном законе «О персональных данных».
В Федеральном законе «Об информации…» (ст. 2) конфиденциальность информации это «обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя». В такой конструкции термин «передать» подразумевает конкретного адресата, однако его может не быть. Кроме того, согласие обладателя информации на передачу информации не может быть единственным условием, так как законодательство Российской Федерации, прежде всего законодательство о безопасности и Федеральный закон «О персональных данных», предусматривают и иные законные основания в качестве исключения из общего правила (наличия согласия субъекта персональных данных).
Учитывая это, концепция Федерального закона «О персональных данных» представляется более точной, он определяет конфиденциальность персональных данных (ст. 3) как «обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания».
Третья проблема, отчасти связана с предыдущей: с содержанием понятия «конфиденциальная информация» в наименовании лицензируемых видов деятельности, определенных Федеральным законом «О лицензировании отдельных видов деятельности» (пункты 10 и 11 ч. 1 ст. 17)[2], и содержанием лицензируемого вида деятельности (п. 11).
В ФЗ «Об информации..» термин «конфиденциальная информация» не используется. Требование «конфиденциальности информации» распространяется на все режимы, включая режим секретности (государственная тайна). А в ФЗ «О лицензировании отдельных видов деятельности» этот термин сохранился. Однако важно не столько название, сколько содержание лицензируемого вида деятельности.
В соответствии с Положением о лицензировании деятельности по технической защите конфиденциальной информации от 15 августа 2006 г. N 504 «Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или)услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней».
Исходя из концепции этого постановления регулирующие органы выдвигают требование получения потенциальными операторами лицензии на техническую защиту конфиденциальной информации во всех случаях, включая те, когда обработка персональных данных осуществляется для собственных нужд (например, в рамках трудовых отношений), что не вытекает из положений Закона и не соответствует духу Федерального закона «О лицензировании отдельных видов деятельности». Комитет Государственной Думы по собственности дал по просьбе Комитета по безопасности разъяснения о сфере действия Федерального закона «О лицензировании отдельных видов деятельности». Согласно этому разъяснению лицензию на деятельность по технической защите конфиденциальной информации обязаны получать только организации, оказывающие соответствующие услуги в рамках предпринимательской деятельности, то есть на платной основе. Деятельность организаций по технической защите конфиденциальной информации исключительно для собственных нужд лицензированию не подлежит. Если учесть, что обязанность защиты персональных данных возлагается, за малым исключением, на всех юридических лиц, то получение лицензии превращается в чисто фискальную функцию. Следовательно, положения данного постановления Правительства требуют уточнения, чтобы оно понималось однозначно.
Проблемы применения Постановления Правительства РФ от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»
Первая проблема связана с установленной этим постановлением классификацией информационных систем персональных данных «в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства».
Представляется, что предлагаемые критерии классификации не отражают реальные угрозы правам субъекта персональных данных: одни и те же нарушения могут по-разному оцениваться субъектами персональных данных. Например, распространение информации о праве собственности на недвижимость создает угрозу для одиноких пожилых собственников и может не восприниматься как угроза другими субъектами. Кроме того, последствия распространения персональных данных зависят от того, кто получил к ним доступ и каковы его интересы. Таким образом, нарушение требований по безопасности обработки персональных данных в соответствии с данной классификацией может не привести к возникновению реальных угроз для субъекта персональных данных. Степень нарушения своих прав может определить только сам субъект, а не оператор, от которого это требуют. Кроме того, программно-технические средства защиты информационных систем вряд ли принципиально различаются в зависимости он количества защищаемых записей.
Вторую проблему составляет реализация требования к операторам персональных данных обеспечить защиту каналов связи, по которым осуществляется обмен персональных данных. Представляется, что данное требование может относиться только к системам, не имеющим выхода в сети связи общего пользования. Оператор должен приложить усилия для защиты информации при передаче ее по каналам связи, но не способен защитить сами каналы связи. Выделенных (защищенных) каналов на всех не хватит.
В целом предлагаемые критерии классификации не вытекают из положений Закона, а система развиваемых на основе этого постановления требований многим операторам представляется труднореализуемой.
Противоречия между Законом и совместным Приказом ФСТЭК, ФСБ и Минкомсвязи от 13 февраля 2008 года «Об утверждении Порядка проведения классификации информационных систем персональных данных»
Первое противоречие вытекает из требования выделения персональных данных, идентифицирующих субъекта персональных данных из общего числа персональных данных. Напомню, что в соответствии с Законом к персональным данным относится «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу». Таким образом, любые персональные данные идентифицируют (определяют) субъекта персональных данных.
Согласно Приказу при проведении классификации определяются категории обрабатываемых в информационной системе персональных данных (п. 6), в том числе категория 3, к которой относятся «персональные данные, позволяющие идентифицировать субъекта персональных данных», и категория 2 – «персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию». Таким образом, приказ понуждает оператора самостоятельно выделить из персональных данных те, которые субъекта «идентифицируют», что противоречит положениям Закона.
Второе противоречие состоит в выделении задачи обеспечения конфиденциальности персональных данных из задач обеспечения безопасности персональных данных.
В соответствии с п. 8 Приказа информационные системы подразделяются на типовые и специальные, при этом к типовым относятся «информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных», а к специальным «информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности». Однако Закон обязывает оператора обеспечить конфиденциальность персональных данных во всех случаях, предусмотренных Законом, а также устанавливает требование обеспечения безопасности персональных данных при их обработке для всех информационных систем (ч. 1 ст. 19), причем оператор должен обеспечить защиту не от одной из угроз, а от всех, перечисленных в Законе: «от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий». Таким образом, Приказ неправомерно распространяет требование Закона только на ряд информационных систем и ограничивает спектр угроз безопасности персональных данных.
Требования обеспечения конфиденциальности и безопасности различны по своей природе и назначению.
Конфиденциальность это правовой режим персональных данных, режим ограничения доступа. Безопасность предполагает принятие организационных и технических мер для защиты прав субъектов персональных данных в том числе и права на конфиденциальность.
Конфиденциальность персональных данных поддерживается безопасностью, поэтому нельзя обеспечить конфиденциальность, не обеспечив безопасность. В свою очередь, безопасность персональных данных должна обеспечиваться вне зависимости от конфиденциальности, поскольку защищаться должна и открытая информация.
Выявленные проблемы применения Закона «О персональных данных» требуют совершенствования законодательства в следующих направлениях:
уточнение положений Федерального закона «О персональных данных», с частности ст. 19 и завершение работы над проектом федерального закона № 217355-4 «О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и Федерального закона «О персональных данных»;
подготовка предложений по уточнению положений Федерального закона «Об информации…» в части формулировки понятия «конфиденциальность информации» и соотношения режимов конфиденциальности[3];
внесение изменения в пп. 10 и 11 ч. 1 ст. 17 Федерального закона «О лицензировании отдельных видов деятельности» в части уточнения вида лицензируемой деятельности, а также уточнение положения Постановления Правительства от 15 августа 2006 г. N 504 «О лицензировании деятельности по технической защите конфиденциальной информации» в части ограничения сферы лицензирования деятельности по технической защите информации;
уточнение положений Постановления Правительства от 17 ноября 2007 г. N 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» в части приведения в соответствие с законодательством Российской Федерации, реалиями оборота персональных данных в стране и ограниченными возможностями оператора по защите каналов связи;
приведение положений Приказа от 13 февраля 2008 года «Об утверждении порядка проведения классификации информационных систем персональных данных» в соответствие с положениями Федерального закона «О персональных данных».
[1] том числе: Трудовой кодекс Российской Федерации № 197-ФЗ от 30 декабря 2001 года (глава 14), Кодекс Российской Федерации об административных правонарушениях № 195-ФЗ от 30 декабря 2001 года (Статья 13.11.), ФЗ «О государственной гражданской службе Российской Федерации» № 79-ФЗ от 27 июля 2004 года (Глава 7), ФЗ «О муниципальной службе в Российской Федерации» № 25-ФЗ от 2 марта 2007 года (Статья 29)
[2] Указанный закон содержит следующие виды деятельности: «10) деятельность по разработке и (или) производству средств защиты конфиденциальной информации; 11) деятельность по технической защите конфиденциальной информации».
[3] Федеральный закон «Об информации…» в ст. 9 не устанавливает структуру информации ограниченного доступа, критерии отнесения информации к тому или иному виду, права и обязанности субъектов в отношении защиты этой информации. Позиция автора по данному вопросу представлена в статье «Коммерческая тайна в системе конфиденциальной информации» в журнале «Информационное право» №3, 2005.
ж. «Персональные данные», № 2, 2009 г.
Волчинская Елена Константиновна, ведущий советник аппарата
Комитета Государственной Думы по безопасности