Семейное насилие. Персональные данные в системе информации ограниченного доступа
 Скачать 2.19 Mb.
|
|
Целью правового режима конфиденциальности персональных 1 Антопольский, A.A. Правовое регулирование информации ограниченного доступа в сфере государственного управления автореф. дис. … канд. юрид. наук / А.А. Антопольский. – МС Терещенко, Л.К. Правовой режим информации / Л.К. Терещенко. – М Юриспруденция, 2007. – Сданных в таком случае следует считать установление прав и обязанностей субъектов отношений, возникающих по поводу персональных данных, как разновидности информации, их защите и обеспечении информационной безопасности с учетом сохранения баланса интересов личности, общества и государства. Именно достижение такого состояния в конечном итоге стоит рассматривать как конечную цель установления режима персональных данных. В этой связи было бы не совсем правильным рассматривать в качестве единственной цели правового режима персональных данных обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, как это указывается в Законе о персональных данных. С таким утверждением отчасти можно согласиться, однако говорить о том, что этим исчерпывается целевое назначение правового режима, представляется не совсем точным. Установление определенных ограничений на использование и обработку персональных данных в действительности является результатом стремления, с одной стороны, к обеспечению защищенности прав и свобод личности путем ограничения нежелательных действий с информацией персонального характера, с другой стороны, к обеспечению интересов государства и общества при обработке информации об индивидах, устанавливая для последних определенный круг прав и обязанностей, а также гарантируя им возможность, при определенных законом условиях, иметь доступ к персональным данным, обрабатывать их, действуя в своем собственном интересе. Именно это закреплено в Доктрине информационной безопасности, которая подчеркивает необходимость соблюдения баланса между потребностью граждан в свободном обмене информацией и ограничениями, 1 О персональных данных федер. закон от 27.07.2006 № 152-ФЗ (ред. от 22.02.2017). – Ст. 2. 2 Доктрина информационной безопасности Российской Федерации (утверждена Указом Президента Российской Федерации от 5 декабря 2016 г. № 646). – (https://rg.ru/2016/12/06/doktrina-infobezobasnost-site- dok.html). – Дата обращения 02.04.2016. 104 связанными с необходимостью обеспечения национальной безопасности, в том числе информационной. Безусловно, для личности право на информацию и право на доступ к информации являются важнейшими из конституционных прав человека и гражданина, которые связаны не только со свободным обменом информацией, но и необходимостью обеспечения защиты информации, обеспечивающей личную безопасность. Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных в своей преамбуле ясно указывает на необходимость сохранения баланса интересов личности в части защиты его фундаментальных прав и свобод, в частности права на уважение частной жизни, в тоже время признавая необходимость согласования ее с идеей свободы информации и информационного обмена между народами. Эта идея также просматривается в Преамбуле ист Директивы № 95/46/ЕС, в которых указывается на необходимость уважения фундаментальных прав и свобод личности при обработке персональной информации при гарантиях сохранения свободного обращения информации. Трактовка положений ст. 55 российской Конституции также вполне очевидно подразумевает необходимость учета интересов всех субъектов, подчеркивая, что ограничения прав и свобод возможно только в той мере, которая необходима для защиты прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства, и только на основании закона. Ограничение обработки персональных данных в этой связи может рассматриваться краеугольным камнем защиты прав и свобод личности в информационной сфере, что, впрочем, не исключает возможность таковой полностью – при соблюдении правили условий, установленных законом. Как мы видим, появление правового режима персональных данных объясняется необходимостью обеспечения личной информационной безопасности индивида, те. создание условий, исключающих посягательство на права и законные интересы личности с использованием персональной 105 информации, что стоит рассматривать в качестве основной – конечной цели установления правового режима персональных данных, при обязательном условии сохранения баланса интересов общества и государства, интересы которых могут быть связаны с необходимостью данных об индивидах. Объектом правового режима конфиденциальности персональных данных как информации ограниченного доступа следует рассматривать отношения, возникающие в связи с обработкой персональных данных, те. информации, переданной индивидом другим субъектам права – конфидентам на условиях соблюдения ее конфиденциальности, что и позволяет рассматривать их как информацию ограниченного доступа или конфиденциальную информацию. В этой связи можно лишь напомнить о том, что автор не ставит целью рассмотрения правового режима персональных данных в целом, как сравнительно сложной разновидности информации, которая может быть как общедоступной, таки ограниченного доступа. Резюмируя сказанное, а также в целом содержание первой главы настоящей работы, в которой уже было дано исчерпывающее понятие персональных данных как разновидности информации, объектом специального правового режима персональных данных как информации ограниченного доступа следует рассматривать отношения, возникающие в связи с обработкой конфиденциальных персональных данных – те. персональных данных, в отношении которых на основании положений закона о персональных данных установлено требование о соблюдении их конфиденциальности и, как следствие, распространяется правовой режим их конфиденциальности Правовое положение субъектов правового режима конфиденциальности персональных данных. Круг субъектов специального правого режима персональных данных крайне широки его субъектами могут быть физические и юридические лица, государственные органы, органы местного самоуправления и т.д. Однако специфика правового режима 106 персональных данных ориентирована на разделение всего круга потенциальных субъектов на несколько основных групп, к которым их следует отнести на основании анализа положений закона о персональных данных Субъект персональных данных – всегда физическое лицо, информация о котором содержится в информационной системе персональных данных Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных Уполномоченный орган по защите прав субъектов персональных данных. Учитывая характер настоящего исследования и его целите. рассмотрение отношений, складывающихся по поводу конфиденциальных персональных данных, в этот перечень можно внести некоторые коррективы. Как ив случаях с другими разновидностями конфиденциальной информации основными участниками таких отношений следует признать – обладателя информации (тайны и конфидента, которому она доверяется, те. которому предоставляется доступ к информации. Применительно к отношениям по поводу персональных данных, очевидно, этими лицами будут субъект персональных данных – обладатель и оператор – конфидент. Именно этот факт обуславливает достаточно типичную систему отношений между ними, которую можно описать схемой обладатель – конфидент. Основным отличием таких отношений является, как правило, возможность обладателя определять правила и порядок доступа к информации, фактически определять режим информации – ограничить доступ к ней или сделать общедоступной он также вправе требовать соблюдения ее конфиденциальности в случае передачи ее конфиденту – оператору. В результате отличием правового положения субъекта 107 персональных данных как участника рассматриваемых отношений следует считать наличие у него, как у обладателя, безусловного права на определение режима своих персональных данных, те сохранить их втайне (в режиме личной, семейной тайны, тайны частной жизни и т.д.), если иное не предусмотрено законом передать их оператору на условиях сохранения их конфиденциальности (для оператора эти сведения могут находиться в условиях режима иной тайны служебной тайны, банковской тайны, налоговой тайны и т.д.). Отметим, что необходимость сохранения конфиденциальности данных презюмируется на основании закона сделать эти сведения общедоступными, те. распространить на них режим общедоступной информации. Напротив, правовое положение оператора как конфидента будет обусловлено обязанностью по сохранению конфиденциальности персональных данных, которая является необходимым условием их обработки и не может быть отменена им по собственному усмотрению. Наличие в системе отношений по обработке персональных данных органа по защите прав субъектов персональных данных обусловлено спецификой самих отношений, учитывая, что одной из сторон отношений по обработке персональных данных является индивид, который зачастую не обладает существенными возможностями по контролю за оборотом информации о себе и соблюдению в целом режима персональных данных операторами, которых может насчитываться многие десятки, если не сотни и даже тысячи. В этом отношении орган по защите прав субъектов персональных данных выступает органом административного контроля надзора) за соблюдением законодательства о персональных данных операторами и обеспечивает защиту прав субъектов персональных данных, что обуславливает специфику его правого статута. В тоже время в отношениях по обработке персональных данных и 108 обеспечения их конфиденциальности присутствуют и другие субъекты, часть из которых лишь частично упоминается в законе о персональных данных – работник, состоящий в трудовых отношениях с оператором и имеющий доступ к персональным данным в рамках исполнения своих должностных обязанностей – лицо, ответственное за организацию обработки персональных данных в организациях – лицо, осуществляющее непосредственно обработку персональных данных по поручению оператора (обработчик персональных данных в рамках гражданско-правового договора, государственного или муниципального контракта 3 Очевидно, что все перечисленные выше субъекты имеют прямую связь с оператором и действуют от его имени или в его интересе и как следствие их правовой статус характеризуется в первую очередь обязанностью по соблюдению конфиденциальности персональных данных, к которым они имеют доступ в силу трудовых или гражданско-правовых отношений с оператором. Последний факт часто объясняет установление ответственности оператора за их действия перед субъектом, и наоборот. Отметим, что указанные субъекты были введены в законодательство не так давно, начиная с середины 2011 года, и их появление стало результатом вполне справедливой критики в адрес законодателя. Упоминание об обработчике персональных данных как субъекте отношений в сфере персональных данных можно встретить у Ю.В. Травкина 6 В целом круг субъектов специального правового режима персональных данных можно представить следующим образом (см. рис 1 О персональных данных федер. закон от 27.07.2006 № 152-ФЗ (ред. от 22.02.2017). Ст. 18.1, паб Там же. – Ст. 22.1. 3 Там же. – Ст. 6, п. 3. 4 Там же. – Ст. 6, пи О внесении изменений в Федеральный закон О персональных данных федер. закон от 25.07.2011 № 261- ФЗ // Собрание законодательства Российской Федерации. – 2011. – № 31. – Ст. 4701. 6 Травкин, Ю.В. Персональные данные. / Ю.В. Травкин. – М Амалданик, 2007. 109 Рис. 4. Отметим, что поскольку персональные данные достаточно универсальная категория и могут быть объектом как публично-правовых отношений (формирование государственных автоматизированных систем и другие случаи, таки частноправовых отношений (отношения по продвижению товаров и услуг на рынке, то соответственно положение субъектов может быть как равным, таки неравным. В действительности предоставление персональных данных зачастую является необходимым условием получения государственных, муниципальных и иных услуг, вступления в договорные отношения, а также неисчислимого количества иных случаев. В тоже время, даже в случае отношений частного характера, сохраняется безусловное требование, обращенное к оператору по соблюдению конфиденциальности данных, а также иные обязанности перед субъектом персональных данных и уполномоченным органом, за исключением установленных законом случаев 1 Подробнее о правовом статусе каждого из субъектов отношений по обработке персональных данных будет сказано далее. Комплекс способов правового регулирования и средств юридического воздействия. Наиболее типичными способами правового регулирования принято считать дозволение, запрещение, позитивное обязывание. Как правило, в рамках конкретного правового режима 1 О персональных данных федер. закон от 27.07.2006 № 152-ФЗ (ред. от 22.02.2017). – Ст. 7. Орган по защите прав субъектов ПД Субъект ПД – обладатель информации Оператор ПД – конфидент Работник оператора Лицо, ответственное за обработку ПД Обработчик ПД 110 используется не один, а несколько способов в определенном сочетании или комплексе, при этом часть из них может доминировать, что может свидетельствовать о степени жесткости правового режима. Вполне уместным можно считать в этой связи классификацию режимов, предложенную А.В. Деминым: явочный режим – режим государственного невмешательства, свободы выбора поведения регламентационный – государство формирует правовое пространство, в рамках которого – также свобода выбирать поведение уведомительный – предусматривающий информирование государства о выбранном поведении договорный – поведение строится в соответствии с условиями соглашения регистрационный – предусматривающий обязанность зарегистрировать выбранное поведение разрешительный – предусматривающий обязанность получить разрешение на выбранное поведение распорядительный – поведение строится на основании прямых указаний государства запретительный – режим государственной монополии либо запрет определенных вариантов поведения» 1 Очевидно, что с такой позиции следует характеризовать правовой режим того или иного вида информации в целом, учитывая, что фактически в рамках правового режима могут быть использованы все способы правового регулирования в различной степени. Наиболее существенное значение в определении способов и конечном итоге характера правового режима играет его конечная цель, которая должна 1 Демин, А.В. Общие вопросы теории административного договора монография / А.В. Демин. – Красноярск Изд-во Краснояр. унта, 1998. – Сбыть достигнута путем установления такого режима. Не является исключением в этом случае и правовой режим персональных данных, который направленна обеспечение информационной безопасности личности через возможность ограничения свободы информации в части оборота информации персонального характера. Учитывая также общий характер отношений по поводу персональных данных как информации ограниченного доступа, можно говорить скорее о регламентационном характере режима персональных данных в целом, в том числе конфиденциальных. Такой вывод обусловлен в значительной степени характеристиками правового статуса субъекта персональных данных, который вправе выбрать в установленных законом рамках наиболее оптимальный, по своему усмотрению, режим своих персональных данных конфиденциальные и общедоступные персональные данные. Сточки зрения оператора персональных данных, рассматриваемый режим следует характеризовать скорее как уведомительный, поскольку закон связывает деятельность по формированию и обработке персональных данных с необходимостью уведомления о таковой уполномоченного органа по защите прав субъектов персональных данных, подразумевая, хоть это прямо и не указано в законе, что субъект персональных данных лично и добровольно передает ему данные, действуя в своем интересе, при условии сохранения их конфиденциальности. 112 2.3. Конфиденциальность как элемент правового режима персональных данных Широкое использование термина конфиденциальность является сравнительно новым для российского законодательства и практики, которые до появления Федерального закона Об информации, информационных технологиях и о защите информации, где в ч. 1 статьи 2 было дано определение этому термину, использовали его лишь эпизодически. Впоследствии многие законодательные акты стали приводиться в соответствии с этими положениями и чаще использовать этот термин при обозначении информации с ограниченным доступом, взамен ранее использовавшегося термина конфиденциальная информация, о чем уже ранее упоминалось в работе. Прежде чем перейти к анализу непосредственно содержания термина конфиденциальность, как элемента правового режима персональных данных, стоит сделать некоторое отступление, касающееся взаимоотношения понятий информационная безопасность, защита информации и конфиденциальность. Такая необходимость целесообразна, учитывая тот факт, что часто эти термины употребляются в одних и тех же текстах. Общий анализ юридической литературы и источников позволяет говорить о некоторой взаимозаменяемости этих понятий. Наибольшие расхождения, пожалуй, могут возникнуть при трактовке термина информационная безопасность, который в большинстве случаев, как, например, у В.Н. Лопатина 2 , также как в большинстве программных документов, например в Доктрине информационной безопасности РФ, определяется как состояние защищенности личности, общества и 1 Об информации, информационных технологиях и о защите информации федер. закон от 29.07.2006 № 149- ФЗ (ред. от 19.12.2016). 2 Лопатин, В.Н. Информационная безопасность России Человек. Общество. Государство / В.Н. Лопатин. – Спб.: СПб унт МВД РФ, Фонд Университет, 2000. – С. 79. 3 Доктрина информационной безопасности Российской Федерации (утверждена Указом Президента Российской Федерации от 5 декабря 2016 г. № 646). – (https://rg.ru/2016/12/06/doktrina-infobezobasnost-site- dok.html). – Дата обращения 02.04.2016. 113 государства от внутренних и внешних информационных угроз, при котором обеспечиваются реализация конституционных прав и свобод человека и гражданина, достойные качество и уровень жизни граждан, суверенитет, территориальная целостность и устойчивое социально-экономическое развитие Российской Федерации, оборона и безопасность государства» 1 Аналогичное по сути определение затем было использовано в Федеральном законе Об участии в международном информационном обмене (утратил силу. Как видно, информационная безопасность – это определенное состояние, обеспечивающее реализацию интересов личности, общества и государства в информационной сфере, которое достигается или является целью деятельности по ее обеспечению. Лишь в некоторых случаях можно встретить так называемую узкую трактовку термина информационная безопасность, как например меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия, и задержек в доступе. В этом случае речь обычно идет об информационной безопасности каких-либо объектов информации, как то информационная система, данные или иной конкретный вид информации. Словосочетание защита информации является достаточно часто употребляемым, но, как правило, его трактовка отсутствовала в тексте нормативных документов ив доктринальных источниках, к тому же в юридических текстах речь обычно шла скорее о защите не собственно информации, а прав на нее, как например защита права на доступ к информации или защита прав на информацию ограниченного доступа» 4 С появлением относительно четких законодательных положений, определяющих содержание защиты информации, вопрос был в определенной 1 Бачило, ИЛ. Информационное право / ИЛ. Бачило, В.Н. Лопатин, МА. Федотов. – СПб.: Юридический центр Пресс, 2005. – С. 592. 2 Об участии в международном информационном обмене федер. закон от 04.07.1996 № 85-ФЗ (ред. от 29.06.2004). (Утратил силу Введение в информационную безопасность. Компьютеры преступления, признаки уязвимости и меры защиты. – М, 1998. 4 Лопатин, В.Н. Информационная безопасность России Человек. Общество. Государство / В.Н. Лопатин. – Спб.: СПб унт МВД РФ, Фонд Университет, 2000. – С. 134, 170. 114 степени разрешен. Ст. 16 Федерального закона Об информации, информационных технологиях и о защите информации указывает на то, что в содержание защиты информации входит принятие правовых, организационных и технических мер, направленных 1) на обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации 2) соблюдение конфиденциальности информации ограниченного доступа 3) реализацию права на доступ к информации. Соответственно защита информации – это определенный комплекс мер правовых, организационных и технических мер, направленный на обеспечение целостности информации (воспрепятствование уничтожению, модификации, неправомерному блокированию, копированию, предоставлению, распространению и иным неправомерным действиям, соблюдение ее конфиденциальности (создание условий, исключающих неправомерный доступ к информации, ее распространение, разглашение, а также создание условий для реализации права на информацию. Безусловно, эти действия в целом направлены на обеспечение информационной безопасности – создание состояния защищенности интересов личности, общества и государства в информационной сфере и их реализацию. В этом случае следует согласиться с мнением ИЛ. Бачило 2 , что обеспечение информационной безопасности не ограничивается только защитой информации, которая является важнейшей, ноне единственной частью этой деятельности, требующей обращения к политике информатизации в целом, к сложной оценке процессов возникновения и проявления угроз безопасности. 1 Об информации, информационных технологиях и о защите информации федер. закон от 29.07.2006 № 149- ФЗ (ред. от 19.12.2016). 2 Бачило, ИЛ. Информационное право учебник для вузов / ИЛ. Бачило. – М Высшее образование, Юрайт- Издат, 2009. – СВ итоге вполне можно установить определенную взаимосвязь между понятиями информационная безопасность, защита информации и конфиденциальность, которые во многом соотносятся как общее и частное. Конфиденциальность при этом можно рассматривать как один из элементов защиты информации, а последнюю – как часть информационной безопасности. Возвращаясь к термину конфиденциальность, можно отметить его сравнительно широкое использование в законодательных текстах, в частности, такие положения присутствуют в ст. 7 Федерального закона О персональных данных, ст. 6 Федерального закона Об основах социального обслуживания граждан в Российской Федерации, ст. 6 Федерального закона О финансовом оздоровлении сельскохозяйственных товаропроизводителей, ст. 22 Федерального закона О третейских судах в РФ, ст. 9 Федерального закона О государственной защите судей, должностных лиц правоохранительных и контролирующих органов, в ст. 41 Закона РФ О средствах массовой информации и многих других законодательных актов. Одним из первых актов, где стал использоваться этот термин, является Федеральный закон О коммерческой тайне. Практически с самого его создания термин конфиденциальность стал своего рода лейтмотивом закона и был использован в определении самого понятия коммерческая тайна, которая трактовалась через режим конфиденциальности, да и далее по тексту закона он использовался неоднократно. Действующая сейчас редакция содержит его упоминание 18 раз. Причем определение самому 1 О персональных данных федер. закон от 27.07.2006 № 152-ФЗ (ред. от 22.02.2017). 2 Об основах социального обслуживания граждан в Российской Федерации федер. закон от 28.12.2013 № 442-ФЗ (ред. от 21.07.2014). 3 О финансовом оздоровлении сельскохозяйственных товаропроизводителей федер. закон от 09.07.2002 № 83-ФЗ (ред. от 21.07.2014). 4 О третейских судах в Российской Федерации федер. закон от 24.07.2002 № 102-ФЗ (ред. от 29.12.2015). 5 О государственной защите судей, должностных лиц правоохранительных и контролирующих органов федер. закон от 20.04.1995 № 45-ФЗ (ред. от 07.02.2017). 6 О средствах массовой информации закон РФ от 27.12.1991 № 2124-1 (ред. от 03.07.2016) (с изм. и доп, вступ. в силу с 15.07.2016). 7 О коммерческой тайне федер. закон от 29.07.2004 № 98-ФЗ (ред. от 12.03.2014). – Ст. 3. 116 термину конфиденциальность таки не было дано, вплоть до его появления в Федеральном законе Об информации, информационных технологиях и о защите информации в 2006 году 1 Современное законодательство трактует его как обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя. Надо сказать, что схожие трактовки и положения достаточно часто можно теперь встретить в целом ряде законов и нормативно-правовых актов, однако с некоторыми нюансами. Дело в том, что термин конфиденциальность или те случаи, когда законодательство упоминает его, может иметь некоторые различия в трактовке или содержании. Достаточно часто для этого используются указание на необходимость субъекта, как правило – конфидента тайны, воздерживаться от определенных действий с информацией, в частности не передавать, не раскрывать, не разглашать, не сообщать, не предоставлять, не распространять» 7 Такое обилие терминов, с одной стороны, выглядит странным, однако поэтому поводу возможны некоторые комментарии. Если вернуться к структуре отношений по охране тайны как конфиденциальной информации, то этому вполне можно найти объяснение. 1 Об информации, информационных технологиях и о защите информации федер. закон от 29.07.2006 № 149- ФЗ (ред. от 19.12.2016). 2 О негосударственных пенсионных фондах федер. закон от 07.05.1998 № 75-ФЗ (ред. от 03.07.2016) (с изм. и доп, вступ. в силу с 01.01.2017). – Ст. 15. 3 Об инвестиционном товариществе федер. закон от 28.11.2011 № 335-ФЗ (ред. от 21.07.2014). – Ст. 12; О персональных данных федер. закон от 27.07.2006 № 152-ФЗ (ред. от 22.02.2017). – Ст. 7. 4 О финансовом оздоровлении сельскохозяйственных товаропроизводителей федер. закон от 09.07.2002 № 83-ФЗ (ред. от 21.07.2014). – Ст. 6.; О третейских судах в Российской Федерации федер. закон от 24.07.2002 № 102-ФЗ (ред. от 29.12.2015). – Ст. 22.; О средствах массовой информации закон РФ от 27.12.1991 № 2124-1 (ред. от 03.07.2016) (с изм. и доп, вступ. в силу с 15.07.2016). – Ст. 41.; О коммерческой тайне федер. закон от 29.07.2004 № 98-ФЗ (ред. от 12.03.2014). – Ст. 11 ч. 2, п. 2. Гражданский кодекс Российской Федерации (часть вторая) от 26.01.1996 № 14-ФЗ (ред. от 28.03.2017). – Ст. 727. 6 О Центральном банке Российской Федерации (Банке России федер. закон от 10.07.2002 № 86-ФЗ (ред. от 28.03.2017). – Ст. 51, абз. 2.; О банках и банковской деятельности федер. закон от 02.12.1990 № 395-1 (ред. от 03.07.2016) (с изм. и доп, вступ. в силу с 01.01.2017). – Ст. 26. 7 О персональных данных федер. закон от 27.07.2006 № 152-ФЗ (ред. от 22.02.2017). – Ст. 7. 117 Основной обязанностью конфидента является сохранение полученных сведений втайне и иных ограничений на обработку информации, которые установлены ее обладателем, те. субъектом тайны. Следовательно, все указанные термины используются для формулировки все той же обязанности конфидента по сохранению тайны сведений, те. ограничивают его право на какую-либо их передачу за пределы отношений обладатель – конфидент. Однако в использовании вышеперечисленных терминов могут быть некоторые отличия. В частности, в определенных случаях предполагается, что информация как бы покидает круг отношений обладатель – конфидент, не становясь при этом открытой и общедоступной, в таком случае, попадая к другому конфиденту, изменяется ее правовой режиму последнего. И если такие действия предполагаются, а иногда это происходит и без согласия обладателя, например в силу требований закона, то соответственно часто используется формула не разглашать, те. не предавать огласке или, иными словами, исключить смену правового режима информации с режима информации ограниченного доступа на режим общедоступной информации. В иных случаях, когда предполагается, что права обладателя могут быть нарушены, в том числе самим фактом передачи сведений третьим лицам пусть и на условиях соблюдения конфиденциальности отношений, те. конфидент – субконфидент», тов таком случае вполне логичным будет описание обязанностей конфидента как не сообщать, не передавать, не раскрывать, имея ввиду в том числе и разглашение информации, как передачу ее неограниченному кругу лиц. В целом можно говорить о том, что общий анализ существующих законодательных положений определяет термин конфиденциальность как требование, обращенное к конфиденту воздерживаться от действий по передаче или раскрытию информации третьим лицам, те. не участникам отношений обладатель – конфидент или неопределенному кругу лиц. При этом конфидент, по-видимому, должен воздерживаться именно от активных действий по передаче, сообщению, раскрытию, разглашению информации. 118 В таком случае возникает вопрос о достаточности подобных действий для защиты интересов обладателя. Как выясняется, это далеко не всегда так. В частности, Федеральный закон О коммерческой тайне одним из первых указывает на необходимость охраны конфиденциальности информации, которая предусматривает ряд фактически активных действий – мероприятий по выполнению этого требования. Более того, смысл статьи 10 этого закона напрямую связывает выполнение или реализацию этих мер с применением к той или иной информации режима коммерческой тайны. Эти меры могут быть также дополнены иными, как то – применение технических средств и методов защиты информации. Далее в п. 5 всё той же статьи 10 указывается на то, что применяемые меры являются разумными и достаточными, если выполнены два условия исключается доступ к информации, составляющей коммерческую тайну, без согласия ее обладателя и обеспечивается возможность использования информации работниками и передачи ее контрагентам без нарушения режима коммерческой тайны. Как видим, термин конфиденциальность в таком случае подразумевает осуществление определенных действий по защите информации от несанкционированного обладателем доступа к ней со стороны третьих лиц, невыполнение которых, по-видимому, можно рассматривать как отказ к применению в отношении этой информации режима коммерческой тайны, следовательно, о его отсутствии. Надо сказать, что представленный в Федеральном законе О коммерческой тайне перечень является в некотором роде аналогичным мероприятиям по защите государственной тайны, который можно представить в упрощенном виде определение объекта защиты, те. какая информация защищается, ее перечень принятие для защиты организационных мер определение лиц, имеющих право доступа 1 О коммерческой тайне федер. закон от 29.07.2004 № 98-ФЗ (ред. от 12.03.2014). 119 определение порядка, правил обработки, обращения информации определение ответственных лиц, подразделений за организацию мероприятий по защите информации учет лиц, получивших доступ, и материальных носителей информации использование для защиты информации технических средств использование программных, программно-технических, технических средств (средства аутентификации, криптографии, резервного хранения, видеонаблюдения, охраны, сигнализации, антивирусные средства и др. Безусловно, напрямую в Законе РФ О государственной тайне, в отличие от Федерального закона О коммерческой тайне, такой перечень не присутствует отдельно водной из статей, но его вполне можно сформировать из общего системного анализа закона с поправкой на секретность вместо конфиденциальности и некоторые другие особенности. К сожалению, другие законодательные и нормативные акты, как правило, никак не раскрывают суть того, каким образом будет обеспечиваться конфиденциальность сведений, те. не раскрывают, в чем состоит специальный режим той или иной тайны. Аналогичного мнения придерживается и Е.К. Волчинская 1 , говоря о конфиденциальности применительно к нотариальной тайне, она отмечает отсутствие соответствующих положений в большинстве законодательных и нормативных актов, включая нормы законодательства о нотариате. Далее в своих рассуждениях Е.К. Волчинская совершенно справедливо отмечает, что конкретно режим тайны определен только в случае государственной и коммерческой тайны, а также тот факт, что без этого (те. без указания на конкретные меры по обеспечению конфиденциальности) режим нотариальной тайны не выглядит завершенными убедительным. 1 Волчинская, Е.К. Нотариальная тайна и режимы конфиденциальности / Е.К. Волчинская // Нотариальный вестник. – 2013. – № 4 (апрель. – (http://www.notariat.ru/publ/zhurnal-notarialnyj-vestnik/archive/5499/6525/). – Дата обращения 02.04.2017. 120 Ст. 16 Федерального закона Об информации, информационных технологиях и о защите информации также содержит лишь достаточно общее указание на конфиденциальность, как одно из направлений правовых, организационных и технических мер по обеспечению защиты информации, в рамках которых обладатель, оператор информационной системы должен обеспечить – предотвращение несанкционированного доступа к информации и или) передачи ее лицам, не имеющим права на доступ к информации – своевременное обнаружение фактов несанкционированного доступа к информации – предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации – недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование – возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней – постоянный контроль над обеспечением уровня защищенности информации» 1 Примечательно, что федеральный закон о персональных данных также первоначально не содержал никаких указаний на конкретные меры защиты, которые должен был предпринять оператор для защиты персональных данных в информационных системах, а лишь содержал общее требование предпринимать организационные и технические меры для защиты персональных данных, причем до 2009 года в обязательном порядке указывал на необходимость использования шифровальных (криптографических) средств, совершенно не делая различий между разными информационными системами, объемами данных и других обстоятельств, что серьезным образом 1 Об информации, информационных технологиях и о защите информации федер. закон от 29.07.2006 № 149- ФЗ (ред. от 19.12.2016). 121 затрудняло реализацию закона и стоимость таких мероприятий. Указанные положения неоднократно подвергались критике как со стороны операторов, таки со стороны ученых-юристов. Итогом работы над дальнейшим совершенствованием законодательных положений стала существенная переработка статьи 19, а также появление статьи 18.1 Федерального закона О персональных данных, которые в действующей редакции уже содержат конкретный ив достаточной степени детальный перечень мер, как организационных, таки технических, которые должные быть приняты оператором для защиты персональных данных. В целом этот перечень вполне можно уложить в уже озвученный выше алгоритм защиты информации применительно к коммерческой и государственной тайне 1. Определение объекта защиты. Сюда можно отнести положения ст. 2 Закона, а также ст. 18 ист, которые в совокупности обязывают оператора определить объем обрабатываемых персональных данных. 2. Принятие организационных мер принятие соответствующих локальных актов и разработка политики конфиденциальности, определяющих порядок и правила обработки персональных данных оператором (ст. 18.1, ч. 1, п. 2, 4, 5; ст. 18.1, ч. 2, п. 4; ст. 19, ч. 2, п. 8); назначение и определение ответственных лиц и подразделений за организацию обработки персональных данных (ст. 18.1, ч. 1, п. 1); ознакомление работников оператора, непосредственно осуществляющих обработку, с нормами законодательства о персональных данных, политикой конфиденциальности и локальными нормативными актами об обработке персональных данных и их обучение, что фактически позволяет говорить о них как о специальных субъектах юридической ответственности (ст. 18.1, ч. 1, п. 6); 122 учет лиц, имеющих доступ к персональным данными учет материальных носителей (ст. 19, ч. 2, пи иные организационные меры по контролю (аудиту) обработки персональных данных и их защите (ст. 18.1, ч. 2, пи ст. 19, ч. 1, п. 4); 3. Использование технических мер по защите информации (ст. 18.1, ч. 1, пи ст. 19, ч. 2, п. 2). По мнению автора, более логично этот общий алгоритм изложен в утвержденном Постановлением Правительства от 21 марта 2012 года № 211 Перечне мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом О персональных данных и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами. Несмотря на то, что Перечень относится только к одной из групп операторов – государственными муниципальным органам, нов целом содержит общий порядок действий по организации защиты информационных систем персональных данных, укладывающийся на все 100% в существующие и уже сложившиеся алгоритмы защиты информации, используемые в случае государственной и коммерческой тайны. Отличие закона о персональных данных заключается ив значительно более подробной детализации необходимых к применению оператором организационных и технических мер, причем в зависимости от определенных параметров информационных систем персональных данных, что выглядит вполне логично, учитывая, что в первую очередь при защите персональных данных преследуются интересы субъекта, а не оператора. Более подробно применяемые организационные и технические меры устанавливаются исходя из типов информационных систем. Так, в 1 Постановление Правительства РФ Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом О персональных данных и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами от 21.03.2012 № 211 (ред. от 06.09.2014). 123 соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных (далее – Требования, они подразделяются на 5 основных видов, в зависимости от категорий персональных данных, обрабатываемых в них информационные системы, в которых обрабатываются специальные категории персональных данных (касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных информационные системы, в которых обрабатываются биометрические персональные данные информационные системы, в которых обрабатываются общедоступные персональные данные информационные системы, в которых обрабатываются персональные данные работников/сотрудников оператора информационные системы, в которых обрабатываются иные категории персональных данных. В тоже время в соответствии с Требованиями выбор организационных и технических мер защиты информации в информационных системах персональных данных зависит от 3 критериев Категорий персональных данных. Соответственно обработка в информационной системе специальных категорий персональных данных или биометрических персональных данных существенно повышает требования к их защищенности, в то время как обработка только общедоступных персональных данных существенно их снижает Объема данных. Требования защищенности информационной системы повышаются с возрастанием количества субъектов персональных данных, данные о которых содержатся в системе Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных постановление Правительства РФ от 01.11.2012 № 1119. 124 ▪ Видов угроз, которые актуальны для информационной системы в части появления недокументированных (недекларированных) возможностей в системном или прикладном программном обеспечении. Всего три типа угроз для го типа вероятны недокументированные (недекларированные) возможности в системном программном обеспечении для го типа – в прикладном программном обеспечении, для го типа – иные недокументированные (недекларированные) возможности. Используя эти критерии, устанавливаются 4 уровня защищенности, каждый из которых со своим обязательным перечнем организационных и/или технических мер, обусловленных определенной комбинацией названных выше критериев. Соответствие уровня защищенности вышеуказанным критериям можно представить в виде следующей таблицы (см. табл. 1). Таблица 1 Требуемый уровень защищенности Предполагаемый тип угроз Категории персональных данных Объем данных количество субъектов, данные о которых содержит ИСПД 1 ) й тип й тип й тип Спец. кат. ПД 2 Био- мет- рич. ПД Иные ПД Общедоступные ПД Более 100 тыс. Менее 100 тыс. й уровень Х Х Х Х Х Х й уровень Х Х Х Х Х Х Х Х Х Х Х Х Х Х Х й уровень Х Х Х Х Х Х 1 ИСПД – информационная система персональных данных 2 ПД – персональные данные 125 Х Х Х Х Х Х Х Х й уровень Х Х Х Х Х В соответствии сданными таблицы для установления того или иного уровня защищенности достаточно наличия у информационной системы одного из наборов соответствующих показателей, каждый набор при этом соответствует одной из строчек таблицы, те. для установления, к примеру, 1 ровня защищенности достаточно наличия одного из двух наборов критериев, а для го — шести и т.д. Каждый уровень защищенности обеспечивается путем выполнения оператором информационной системы персональных данных соответствующих требований, которые целесообразно представить также в виде таблицы (см. табл. 2): Таблица 2 Уровни защищенности ИСПД Требования, необходимые к выполнению оператором й уровень й уровень й уровень й уровень Организация режима обеспечения безопасности помещения, где размещается ИСПД, препятствующего возможности неконтролируемого проникновения или пребывания, лиц, не имеющих доступа Обеспечение сохранности носителей ПД Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к ПД, обрабатываемым в ИС, необходим для выполнения ими служебных (трудовых) обязанностей Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз 126 Не применяются Назначение должностного лица (работника, ответственного за обеспечение безопасности ПД в ИС Не применяются регистрация в журнале безопасности изменений полномочий сотрудника оператора по доступу к ПД, содержащимся в ИС Не применяются Создание структурного подразделения, ответственного за обеспечение безопасности ПД в ИС либо возложение ее на имеющееся структурное подразделение Анализ приведенных данных позволяет говорить о том, что объем требований, а, следовательно, и уровень защищенности информационной системы повышается от четвертого уровня к первому уровню. Наиболее защищенным является первый уровень, для реализации которого к оператору предъявляется наибольший объем требований. Приведенные перечни требований к организационными техническим мерам защиты информационных систем персональных данных были еще более подробно раскрыты в Приказе ФСТЭК от 18 февраля 2013 года, который уже детально раскрывает состав и содержание организационных и технических мер по защите персональных данных при их обработке в информационных системах персональных данных. На основании этого документа в зависимости от требуемого уровня защищенности оператору необходимо применять следующие меры по обеспечению безопасности информационных систем персональных данных идентификация и аутентификация субъектов доступа и объектов доступа управление доступом субъектов доступа к объектам доступа ограничение программной среды защита машинных носителей информации, на которых хранятся и 127 или) обрабатываются персональные данные регистрация событий безопасности антивирусная защита обнаружение (предотвращение) вторжений контроль (анализ) защищенности персональных данных обеспечение целостности информационной системы и персональных данных обеспечение доступности персональных данных защита среды виртуализации; защита технических средств защита информационной системы, ее средств, систем связи и передачи данных выявление инцидентов (одного события или группы событий, которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее – инциденты, и реагирование на них управление конфигурацией информационной системы и системы защиты персональных данных» 1 Приведенные меры могут иметь различное содержание и также варьируются в зависимости от требуемого уровня защищенности информационной системы и предполагаемых типов угроз, описанных ранее, на основании чего формируется базовый набор мер, соотношение которых подробно раскрывается в Приложении к составу и содержанию мер по обеспечению безопасности персональных данных в информационных системах персональных данных. Предполагается, что оператор на основании анализа информационной системы и ее параметров адаптирует указанный 1 Приказ ФСТЭК России Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных от 18 февраля 2013 г. № 21. 128 базовый набор мер, исходя из структурно-функциональных ее характеристик. При этом оператор обязан проводить оценку эффективности принимаемых мер не реже одного раза в 3 года, как самостоятельно, таки с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите информации. В соответствии счастью статьи 12 Федерального закона О лицензировании отдельных видов деятельности к лицензируемым видам деятельности относятся деятельность по разработке и производству средств защиты конфиденциальной информации и деятельность по технической защите конфиденциальной информации. На основании этих положений приняты соответствующие постановления Правительства О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации и О лицензировании деятельности по технической защите конфиденциальной информации. Оба эти документа не проводят никакого различия между различными видами конфиденциальной информации, а, следовательно, в одинаковой степени применимы для оценки применяемых оператором мер по защите конфиденциальности персональных данных, в тех случаях, когда требуется использование технических средств. Последнее еще более показывает на общность мероприятий, методики алгоритмов защиты информации ограниченного доступа, включая обеспечение ее конфиденциальности. Таким образом, конфиденциальность информации является, с одной стороны, необходимым элементом защиты информации ограниченного доступа, с другой стороны, определенным ее состоянием, когда исключается неправомерный доступ к ней, достигаемым путем реализации комплекса мер правового, организационного и технического характера. Соответственно конфиденциальность следует трактовать как – 1 О лицензировании отдельных видов деятельности федер. закон от 04.05.2011 № 99-ФЗ (ред. от 30.12.2015) (с изм. и доп, вступ. в силу с 01.01.2017). 129 элемент правового режима информации ограниченного доступа, выражающегося в реализации конфидентом комплекса мероприятий правового, организационного и технического характера, направленного на исключение возможности неправомерного доступа к ней Конфиденциальность в определенном смысле можно рассматривать и как необходимое режимное требование, обращенное к конфиденту – оператору, работнику, иному лицу, которое имеет доступ к конфиденциальной информации на законном основании. Указанное требование может быть установлено обладателем информации или на основании закона. Требует также определенного пояснения и тот факт, что требование конфиденциальности может иметь различное содержание, в том числе и применительно к различным видам правоотношений. Все вышесказанное в большей степени применимо к административным, информационным, гражданско-правовым отношениям, тогда как в трудовых отношениях требование конфиденциальности может иметь несколько иное значение, которое скорее можно рассматривать как часть должностных обязанностей, связанных с определенным порядком работы с информацией при их исполнении. 130 ГЛАВА 3. ФОРМИРОВАНИЕ РОССИЙСКОГО И ЗАРУБЕЖНОГО ЗАКОНОДАТЕЛЬСТВА О ПЕРСОНАЛЬНЫХ ДАННЫХ |