контрольная. инвормационное право. Проблемы формирования, использования и защиты персональных данных
Скачать 98 Kb.
|
Проблемы формирования, использования и защиты персональных данных.Человечество в ходе долгого процесса развития смогло добиться огромных успехов во всех отраслях. В том числе, человечество сумело сделать грандиозные успехи в области права. Так, на сегодняшний день все крупные государства имеют свои сборники правил или законов. Российская Федерация, несомненно, преуспела в области права, ведь в нашей стране действует Конституция РФ, а также большой перечень Федеральных законов, и иных нормативно-правовых актов. Всѐ это помогает современному обществу сосуществовать в мире и согласии, при этом наказывая всех правонарушителей, строго по законам. Таким образом, отрасль права регулирует большинство процессов, в том числе и процессе взаимоотношений между людьми. Отсюда следует, что отрасль права не обошла и такую деятельность как обеспечения безопасности персональных данных. Актуальность темы исследования объясняется тем, что на сегодняшний день большинство организаций имеет дело с обработкой или хранением персональных данных и необходима большая правовая база, которая смогла бы регламентировать деятельность по защите персональных данных, при этом определяя вид ответственности правонарушителя. Немаловажным будет отметить тот факт, что правонарушения в области обеспечения безопасности персональных данных случаются весьма часто, причем одной из причин является халатность сотрудников, которые осуществляют обработку персональных данных. Для исследования правовых аспектов мы будем опираться на ФЗ №152 «О персональных данных». Именно этот закон на просторах Российской Федерации регламентирует деятельность по обеспечению защиты персональных данных. Однако, не стоит забывать и трудовой кодекс, в котором также есть целая глава, посвященная защите персональных данных работника – ТК РФ Глава 14. Одной из главных составляющих права человека на неприкосновенность частной жизни является защита его персональных данных. Важнейшей современной тенденцией развития информационного общества является возрастание интереса к персонифицированной информации вообще и к персональным данным в частности. Основными предпосылками этого стали: автоматизация обработки данных в информационных системах различного назначения, развитие рынка «интернета вещей», создание различными компаниями центров обработки данных (ЦОД), формирующих так называемые «большие данные» в региональном и глобальном масштабе. Эти процессы протекают на фоне конкурентной борьбы, связанной со стремлением оказать влияние на субъекта персональных данных с целью получения преимуществ в современном мире. В теории права персональные данные определяются как информация (зафиксированная на любом материальном носителе) о конкретном человеке, которая отождествлена или может быть отождествлена с ним. В информационную эпоху одним из фактов, свидетельствующих об актуальности и значимости темы, является ее отражение в каком-либо артефакте цифровой культуры. В связи с этим с некоторой долей удивления можно обнаружить, что очевидная для специалистов в области правового регулирования информационных технологий и информационной безопасности, но вряд ли столь же понятная для рядовых пользователей сфера персональных данных уже легла в основу компьютерной игры. Некоммерческий игровой проект "Data Dealer", созданный небольшой независимой группой европейских разработчиков, дает игроку возможность почувствовать себя в роли оператора персональных данных, который стремится любой ценой заполучить персональные данные пользователей и "продать" их крупным корпорациям1. Разумеется, все это происходит в вымышленном игровом пространстве. С юридической точки зрения замысел игры подчеркивает ряд ключевых проблем оборота личных данных в сети Интернет, затрагивающих и правовой статус информации как объекта правоотношений, и правовую квалификацию оборота больших объемов информации (big data), и ряд других вопросов. В то же время в центре данной проблемной области находится само понятие персональных данных, которое вызывает немало споров, особенно сегодня - в условиях стремительного развития информационно-телекоммуникационных технологий. Понятия персональных данных (personal data), информации, позволяющей установить личность (personally identifiable information), и подобные им возникли в различных правовых системах во второй половине XX в. в связи с появлением информационно-телекоммуникационных технологий, прежде всего сети Интернет. Проблема правового регулирования персональных данных на современном этапе становится одной из системных проблем правового регулирования отношений в этой сфере, наряду с проблемами идентификации пользователей, определения юрисдикции и ответственности информационных посредников. Сложность регулирования оборота персональных данных в Интернете обусловлена факторами, определяющими социальное, экономическое, культурное и правовое значение глобальной сети: объемом, скоростью, доступностью, простотой и глобальностью оборота информации. Когда технологии позволяют с большой скоростью передавать данные по всему миру, стирается, по выражению Е.А. Войниканис, "естественный барьер" личного пространства физического лица. А благодаря именно такому "барьеру" до разработки эффективных инструментов автоматизированной обработки персональных данных эта проблема не возникала. С экономической точки зрения неавтоматизированная обработка персональных данных была нецелесообразна. Ранее она осуществлялась преимущественно государственными органами (например, правоохранительными), а возможность легкого и доступного публичного распространения таких данных отсутствовала. Однако начиная с "эпохи web 2.0", когда многие интернет-сервисы стали интерактивными площадками для оборота пользовательского контента, ситуация изменилась2. Что представляют собой персональные данные? В мире было выработано несколько законодательных определений этого понятия. Наиболее ясным нам кажется определение, закрепленное в британском Акте о защите данных 1998 г. В соответствии с ним персональные данные - это "любая информация, которая относится к живому физическому лицу, которое может быть идентифицировано: (a) на основании такой информации и (b) на основании такой информации, а также другой информации, находящейся в распоряжении или способной оказаться в распоряжении оператора". Для сравнения приведем дефиницию, сформулированную в п. "a" ст. 2 Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 г.) (далее - Конвенция): "Персональные данные означают любую информацию об определенном или поддающемся определению физическом лице ("субъект данных")". Очевидно, что понятию, закрепленному в британском законодательстве, свойствен принципиально более высокий уровень формальной определенности. В частности, в Акте о защите данных прямо указано, что физическое лицо должно быть живым, что необходима возможность идентификации такого физического лица, причем не абстрактная, а на основании конкретной информации. Перечисление таких признаков позволяет более точно относить тот или иной набор данных к числу персональных. В определении Конвенции отсутствует логическая связь между информацией и возможностью установить физическое лицо именно на основании данной информации. В этом контексте интересен и тонкий семантический нюанс: в русском переводе Конвенции использован предлог "об", а в английском - "relating to", т.е. "относящийся к". Несмотря на терминологию русского перевода Конвенции, нормам Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных"3 близка логика ее английского текста. Однако, по сути, формулировка Закона еще шире, чем формулировка Конвенции. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Хотя концепция персональных данных довольно стара, развитие компьютерных сетей и автоматизированного анализа данных позволили красть, централизованно собирать и массово продавать данные о человеке. Эти данные помогают выследить человека, спланировать преступление против него или постороннему выдать себя за человека. Более мирное применение персональным данным — реклама. Хотя современные технологии анализа данных позволяют отличить одного человека от другого по очень косвенным признакам, персональные данные — это юридическое, а не техническое понятие. Защита персональных данных – правовая система, на основе которой выполняются требования законодательства РФ относительно хранения, обработки и передачи персональных данных граждан. Оператором персональных данных может выступать государственный или муниципальный орган, а также, юридическое или физическое лицо, имеющие правомочия на определение цели и содержание, а также выполнение ряда организационных и технических мероприятий, касающихся защиты персональных данных от блокирования, уничтожения, копирования и иных неправомерных действий Персональные данные каждого российского гражданина защищены действующей законодательной базой РФ, которая предусматривает несколько видов ответственности за нарушение требований законов в сфере защиты персональных данных, в частности существует гражданско-правовая, дисциплинарная, материальная, административная и уголовная ответственность. Cтатьей 17 федерального закона № 152-ФЗ закреплено право субъекта персональных данных на обжалование действий или бездействия оператора в т.ч. на возмещение убытков и (или) компенсацию морального вреда в судебном порядке. Так, А. обратилась в суд с иском к ООО о взыскании компенсации морального вреда в виду обработки персональных данных с нарушением требований закона. Судом было установлено, что А. неоднократно получала почтовые отправления от ООО с указанием о том, что выиграла приз, а также получала каталоги товаров, которые реализует ответчик, в поступающей корреспонденции содержались ее персональные данные - фамилия, имя, отчество, место регистрации и проживания, согласия на размещение указанных данных истец не давала. Разрешая заявленные требования, суд указал, что моральный вред истцу подлежит возмещению, поскольку доказательств ознакомления истца с Положением ответчика о порядке обработки персональных данных клиентов ООО, а также о согласии истца на обработку персональных данных ответчиком представлено не было. По другому делу, судом было установлено, что государственное учреждение в нарушение требований Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» совершило действия, направленные на раскрытие полученных персональных данных истца неопределенному кругу лиц, путем размещения в общественном месте в качестве образца заявления о выдаче дубликата страхового свидетельства, содержащего персональные данные истца в открытом виде, без согласия последнего. Разрешая заявленные требования, суд первой инстанции, руководствуясь статьями 3, 7, 17, 24 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», статьями 151, 1101 ГК РФ, установив факт размещения в общедоступном месте в качестве образца персональных данных истца, пришел к обоснованному выводу о частичном удовлетворении исковых требований, взыскав с ответчика компенсацию морального вреда4. Л.Д. обратилась в суд с исковым заявлением к банку о взыскании компенсации морального вреда. В обоснование иска указала, что заключила с банком кредитный договор на приобретение автомобиля, кредитный договор был обеспечен договором залога автомобиля и страхованием приобретенного по кредиту имущества от гибели. Для осуществления своих целей банком, в нарушение требований Федерального закона N 152-ФЗ от 27.07.2006 года «О персональных данных», без письменного согласия истца, долговому агентству были переданы ее персональные данные: имя, фамилия и отчество, дата рождения; паспортные данные, домашний адрес, номера рабочего, домашнего и мобильного телефона, информация о последнем известном банку месте работы. В результате данных действий банка, на номер сотового телефона истца ежедневно, как в рабочие, так и в выходные дни, поступали телефонные звонки от долгового агентства с требованиями погашения перед банком задолженности, что лишало ее возможности добросовестно работать, нарушало ее покой и отдых, причиняло моральные страдания. Рассматривая спор и принимая решение о частичном удовлетворении исковых требований, суд первой инстанции исходил из установленного факта, что на передачу персональных данных истца банком в долговое агентство требовалось получение письменного согласия Л.Д., однако данного согласия банком получено не было. Действия банка по передаче персональных данных истца противоречат требованиям статьи 857 Гражданского кодекса РФ, статье 26 Федерального закона «О банках и банковской деятельности», положениям Конституции РФ, что является основанием для удовлетворения требований истца о взыскании с ответчика компенсации морального вреда. Апелляционная инстанция нашла заслуживающими внимания доводы жалобы о несогласии с размером денежной компенсации морального вреда, определенной ко взысканию судом. При определении размера компенсации морального вреда суд учел содержание и количество писем (2 письма) от долгового агентства. Однако, судебная коллегия считает, что размер компенсации морального вреда, определенный судом, не соответствует характеру нравственных страданий истца, степени вины ответчика, а также требованиям разумности и справедливости, при этом судебная коллегия исходит из фактических обстоятельств дела. Исходя из изложенного, судебная коллегия находит необходимым изменить в указанной части решение суда, увеличив размер компенсации морального вреда5. Персональные данные, как составная часть информации, охраняемой в любом режиме ограничения доступа, а иногда персональные данные просто составляют тайну, например врачебную, банковскую, тайну страхования. Содержание понятия «конфиденциальная информация» в наименовании лицензируемых видов деятельности, определенных Федеральным законом «О лицензировании отдельных видов деятельности» (пункты 10 и 11 ч. 1 ст. 17), и содержание лицензируемого вида деятельности (п. 11) требует уточнения. Уведомление об обработке персональных данных: оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения. Противоречия между законом и нормативным актом Правительства. Требование получения потенциальным оператором персональных данных лицензии на техническую защиту конфиденциальной информации во всех случаях, включая те, когда обработка персональных данных осуществляется для собственных нужд (например, в рамках трудовых отношений) не вытекает из ФЗ «О персональных данных» и применяется слишком широко. Противоречия между законом и нормативным актом Правительства. Классификация информационных систем персональных данных «в зависимости от объема обрабатываемых ими персональные данные и угроз безопасности жизненно важным интересам личности, общества и государства». Требование к операторам персональных данных обеспечить защиту каналов связи, по которым осуществляется обмен персональными Противоречия между законом и нормативным актом ведомств. Выделение персональных данных, идентифицирующих субъекта персональных данных из общего числа персональных данных, Выделение задачи обеспечения конфиденциальности персональных данных из задач обеспечения безопасности персональных данных. Также Бюджетные затраты на его реализацию Правительством не предусматривались (в том числе на лицензирование и сертификацию по требованиям безопасности информации автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации). В школах, детских садах, поликлиниках не предусмотрены специалисты, соответственно отсутствуют элементарные помещения, которые бы соответствовали техническим нормам и требованиям по технической защите информации. Соблюдение всех возложенных на компании необоснованных требований, будь то приобретение необходимого технического оборудования, создание специальных помещений, обучение персонала, изготовление специальных электронных ключей несут за собой значительные материальные затраты, в тоже время механизмы финансирования со стороны государства на данные цели не предусмотрено. Случаи и масштабы незаконного сбора и обработки персональных данных не сокращаются, утечки данных продолжаются, контроля за этим процессом со стороны государства практически не ведется. Законодательное регулирование защиты персональных данных, до сих пор практически не работает, а федеральный закон « О персональных данных» по-прежнему выдвигает только общие и неконкретные требования. Каждая кампания трактует эти требования на свое усмотрение, а иногда просто их игнорирует. В тоже время нет единого органа, контролирующих сбор, защиту и передачу персональных данных, не хватает специалистов достаточно осведомленных в этой области вследствие отсутствия института подготовки специалистов. Обмен передачи персональных данных ведется по открытым каналам. В информационных системах используется программное обеспечение, разработанное в других странах. На данный момент в Российской Федерации недостаточно специалистов в области криптологии (шифрование данных). В тоже время происходит лавинообразное увеличение электронных услуг, использующие персональные данные (развитие социальных сетей, электронный документооборот, создание электронных архивов в медицине, развитие интернет торговли, электронная переписка, появление электронных денег и т.д.). В современных условиях появляется все больше клиентских баз данных, утечка, которых приводит как к коррупции в этой сфере, так и к нечестной конкуренции. Утечка информации из медицинских учреждений, массмедиа приводит к нанесению морального вреда. Не везде соблюдается требования закона « О персональных данных». Хранение приватных сведений должно осуществляться не дольше, чем этого требуют цели их обработки, а по достижении целей обработки или утраты необходимости в их достижении персональная информация должна быть уничтожена. Срок, в течение которого ставшие ненужными персональные данные должны быть уничтожены, устанавливается в три рабочих дня (ст. 5 ч. 2 ФЗ № 152 «О персональных данных). Для примера в медицинских учреждениях персональные данные могут храниться годами. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Однако на местах данные требования невозможно выполнить, так как не имеются специальные помещения, защищенных компьютерных внутренних сетей, криптографических программ и достаточной подготовки специалистов. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования и распространения. На деле мы видим отсутствие специальных серверов, хранящих персональные данные, защищенных сетей связи с этими серверами, свободный доступ к оборудованию, отсутствие электронных ключей у операторов, недостаточный уровень подготовки операторов в области информационных технологий и криптографии. Еще одним из слабых звеньев в сфере защиты персональных данных является недостаточная правовая подготовка как лиц работающих в сфере сбора и хранения персональных данных, так и обычных граждан. Немало важную роль в сложившейся экономической ситуации в мире, играет низкое финансирование для укрепления материально-технической базы в сфер В частности на сегодняшний день банки обрабатывают огромное количество персональных данных, доступ к которым имеет целый ряд корпоративных подразделений и департаментов. В большинстве случаев, этот доступ никак не контролируется, что приводит к высоким рискам утечки. Учитывая актуальность проблемы, необходимо признать, что защита персональных данных граждан является неотъемлемой частью гарантии защиты прав и свобод граждан в демократическом государстве. Все это требует совершенствования как в законодательной базе (дальнейшее совершенствование законодательства в этой сфере, исключения противоречий между нормативно правовыми актами, так и в материально техническом обеспечении). С нашей точки зрения, необходимо создать: единый орган, контролирующий деятельность организации в сфере защиты персональных данных; осуществить связи между организациями, использующие персональные данные и хранилищами закрытыми электронными сетями; обеспечить профессиональной подготовкой специалистов, работающих в сфере сбора, хранения и передачи персональных данных, а также специалистов, обеспечивающих шифрование информации (криптологов). Обеспечивать доступ к персональным данным, только по решению суда. Скорее всего, необходимо, чтобы электронная программа и программа шифрования данных, операционные системы были разработаны отечественными специалистами, чтобы исключить преднамеренный взлом программ, обеспечивающих утечку данных иностранными государствами; обеспечить материальные ресурсы для обеспечения современной техникой и квалифицированными специалистами организации, занимающиеся сбором, хранением и передачей персональных данных; на законодательном уровне доработать меру ответственности не только юридических лиц, но и физических лиц, которые занимаются сбором, хранением и передачей персональных данных. Список использованных источниковНормативные правовые акты Конституция Российской Федерации: принята всенар. голосованием 12 дек. 1993 г. //Рос. газ. 1993. 25 дек.; 2014. 23 июля. Кодекс Российской Федерации об административных правонарушениях: федер. закон Рос. Федерации от 30.12.2001 г. № 195-ФЗ // Рос. газ. 2001.31 дек.; 2017. 10 февр. О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях: федер. закон Рос. Федерации от 21.07.2014 г. № 242-ФЗ //Рос. газ. 2014. 23 июля; 2015. 12янв. О персональных данных: федер. закон Рос. Федерации от 27.07.2006 г. № 152-ФЗ // Рос. газ. 2006. 29 июля; 2016. 6 июля. Об утверждении Доктрины информационной безопасности Российской Федерации: указ Президента РФ от 05.12.2016 г. № 646 // Собр. законодательства Рос. Федерации. 2016. № 50, ст. 7074. Научная литература Васильева Ж.С., Медведев В.А. Тенденции развития законодательства в сфере защиты персональных данных //Вестник Российского университета кооперации. 2017. № 2 (28). С. 103-107. Дроменко А.Ю. Информационные права граждан РФ и защиту персональных данных в сети интернет // Science Time. 2016. № 2 (26). С. 203-206. Карпухина А.А., Чуракова Е.Н. Обработка и защита персональных данных //Фундаментальные и прикладные исследования в современном мире. 2017. № 18-3. Крюкова Д.Ю., Мокрецов Ю.В. Актуальные проблемы правового регулирования оборота и защиты персональных данных в России // Вестник института: преступление, наказание, исправление. 2017. № 2 (38). С. 34-38. Наумов В.Б., Архипов В.В. Понятие персональных данных: интерпретация в условиях развития информационно-телекоммуникационных технологий // Российский юридический журнал. 2016. N 2. С. 186 - 196. Прохорова Т.Ю. К вопросу о нормативно-правовом регулировании защиты персональных данных // Юридическая наука и практика: Вестник Нижегородской академии МВД России. 2016. № 1 (33). С. 318-325. Соколова О.С. Правовые позиции Конституционного Суда Российской Федерации в сфере персональных данных // Современное право. 2015. N 10. С. 88 - 93. Хлестова Д.Р., Попов К.Г. К вопросу о защите персональных данных в сети интернет // Инновационное развитие. 2017. № 7 (12). С. 20-21. Хлестова Д.Р., Попов К.Г. Особенности защиты персональных данных в банковской сфере // Инновационное развитие. 2017. № 7 (12). С. 22-23. Электронные ресурсы http://www.consultant.ru 1 Наумов В.Б., Архипов В.В. Понятие персональных данных: интерпретация в условиях развития информационно-телекоммуникационных технологий // Российский юридический журнал. 2016. N 2. С. 186 2 Архипов В.В., Килинкарова Е.В., Мелащенко Н.В. Проблемы правового регулирования оборота товаров в сети Интернет: от дистанционной торговли до виртуальной собственности // Закон. 2014. N 6. С. 120 - 143. 3 СЗ РФ. 2006. N 31 (ч. 1). Ст. 3451. 4 Определение Приморского краевого суда от 14.07.2014 по делу № 33-5960 // Справочно-правовая система «КонсультантПлюс». 5 Апелляционное определение Новосибирского областного суда от 21.01.2014 по делу № 33-383/2014 // Справочно-правовая система «КонсультантПлюс». |