Персональные данные как термин российского законодательства

(Бундин М. В.) («Правовые вопросы связи», 2009, N 1)

ПЕРСОНАЛЬНЫЕ ДАННЫЕ КАК ТЕРМИН РОССИЙСКОГО ЗАКОНОДАТЕЛЬСТВА

М. В. БУНДИН

Бундин М. В., ассистент кафедры конституционного и административного права юридического факультета Нижегородского государственного университета им. Н. И. Лобачевского.

В последнее время уже многое сказано о проблеме персональных данных — относительно новом правовом институте информационного права, который еще пока находится в стадии формирования в российском законодательстве и практике. Тем не менее трудности остаются, причем не только в регулировании вопросов обработки персональных данных, но и в самом значении термина. В российской правовой науке трактовки понятия персональных данных были даны неоднократно, и во многом они очень схожи. В частности, можно назвать определение О. Б. Просветовой, где «персональные данные — это сведения о фактах, событиях, и обстоятельствах жизни физического лица, его семьи, а также позволяющие отождествить их с конкретным индивидом и отражающие особенности последнего по отношению к другим людям (обществу)» <1>. Другим примером может служить определение, данное одним из наиболее авторитетных специалистов в области информационного права В. Н. Лопатиным: «…персональные данные — информация (зафиксированная на любом носителе) о конкретном человеке, которая отождествляется или может быть отождествлена с ним» <2>. Безусловно, можно найти и другие определения, но в основном все очень близкие по смыслу и структуре к определению, данному законодателем. ——————————— <1> Просветова О. Б. Защита персональных данных: Дис. … канд. юрид. наук. М., 2005. С. 27 — 28. <2> Бачило И. Л., Лопатин В. Н., Федотов М. А. Информационное право. СПб.: Юридический центр Пресс, 2005. С. 244.

В российском законодательстве оно появляется одновременно с аналогичным понятием «информация о гражданах» в Федеральном законе «Об информации, информатизации и защите информации» <3>, которое справедливо критиковалось, хотя бы за упоминание в качестве субъекта персональных данных исключительно граждан. С принятием Федерального закона «О персональных данных» <4> (далее — Закон) трактовка понятия персональных данных несколько изменилась, но принципиально и в этом определении стоит отметить по-прежнему две основные характеристики (критерия) персональных данных, о которых далее и пойдет речь. ——————————— <3> См.: Федеральный закон от 20 февраля 1995 г. N 24-ФЗ «Об информации, информатизации и защите информации» // Российская газета. 1995. 22 фев. <4> См.: Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» // Российская газета. 2006. 29 июля.

Во-первых, персональные данные были четко названы информацией, т. е. одной из разновидностей информации. С одной стороны, это очевидно и понятно, с другой — может вызвать некоторое недопонимание. В большинстве случаев, давая определение сложным категориям, обозначенным терминами по типу «существительное + прилагательное», оно строится через исходную категорию, обозначенную существительным, тогда как в описываемом случае используется более широкий термин, хоть и синонимичный. В действительности проблема терминологии в системе объектов информации отмечена уже давно в трудах И. Л. Бачило <5> и, по-видимому, еще далека от решения. Иначе самым простым решением было бы обратиться к термину «данные» и назвать их отличительные особенности именно как персональных данных. Но, к сожалению, законодательного определения данных попросту не существует, как, впрочем, и не существует доктринального единого определения данных как разновидности объекта информации. Тем не менее значение термина «данные» в общеупотребительной лексике двояко, в частности, толковый словарь дает нам следующее <6>: ——————————— <5> См.: Бачило И. Л. Информация и информационные отношения в праве // НТИ. Сер. 1. 1999. N 8. <6> См.: Ожегов С. И. Словарь русского языка // URL: http://slovar. plib. ru/dictionary/d19/9033.html.

1. Данные — информация (сведения, сообщения), необходимые для производства с ней определенных действий, т. е. ее обработки. В этом случае термин не имеет какого-либо специального значения и употребляется как синоним слова «информация» в целом. 2. Данные как специальный термин в информатике, обозначающий информацию (сведения, сообщения) в определенном упорядоченном и формализованном виде, подготовленную для обработки с помощью средств автоматизации, технических средств (ЭВМ). В таком случае возникает ощущение, что законодатель, как и многие авторы, существенно расширяет значение термина, употребляя его в «широком», первом из названных выше значений. Справедливо было в таком случае использовать и термин «персональная информация», поскольку специального значения термину «данные» в большинстве существующих определений не придается. Несколько отличная ситуация существует в зарубежном законодательстве и практике. При внимательном анализе Директивы Европейского парламента и Совета ЕС 95/46/EC <7>, имплементированной в 27 государствах Европы, можно сделать вывод, что определенным образом она делает уточнения именно такого характера, не случайно вводя в оборот понятие «файл персональных данных», указывая на определенную структурированность информации, которая позволяет ее включение и нахождение в базах данных/банках данных, информационных системах, а также облегчает возможность поиска ее по какому-либо фрагменту. Именно связь информации как данных с информационной системой и базами и банками данных подчеркивается во всем тексте Директивы, а также другие используемые термины: «оператор», «информационная система персональных данных», «файл». Аналогичное ощущение может сложиться и при анализе другого достаточно авторитетного источника — Конвенции Совета Европы о защите личности в связи с автоматизированной обработкой данных <8>. Надо сказать, что текст российского закона в целом оставляет аналогичное впечатление, особенно в части использования специальных терминов или, к примеру, необходимости уведомления оператора о начале обработки данных, по-видимому, находящихся в информационных системах или банках данных, или подготовленных для такой обработки. Однако определение, данное в законе, никак не конкретизирует «персональные данные» именно как данные, что совсем нежелательно и способно ввести в заблуждение. Аналогичные рассуждения о рассмотрении понятия «персональные данные» именно как «данные» есть, пожалуй, лишь у В. П. Иванского <9>, к чему он приходит также на основе анализа международной и зарубежной практики. ——————————— <7> URL: http://eur-lex. europa. eu/LexUriServ/LexUriServ. do? uri=CELEX:31995L0046:EN:NOT <8> См.: Конвенция Совета Европы о защите личности в связи с автоматизированной обработкой данных от 28 января 1981 г. // URL: http://conventions. coe. int/Treaty/EN/Treaties/Html/108.htm. <9> См.: Иванский В. П. Правовая защита информации о частной жизни граждан. М.: Издательство РУДН, 1999. С. 7 — 12.

Во-вторых, еще одним критерием выделения «персональных данных» в качестве особого рода информации можно считать ее связь с индивидом — субъектом персональных данных, что по-разному было отражено авторами и в законодательстве. В большинстве случаев она отражена как «идентификация» или «возможность идентификации» субъекта как необходимого критерия или признака персональных данных, как это указано у А. А. Фатьянова <10>. В. Н. Лопатин, давая свое определение, использует термин «отождествление», или «возможность отождествления», субъекта с информацией. И. Л. Бачило использует термин «удостоверение», «т. е. сведения и документы, удостоверяющие личность гражданина… его месторождения, жительства, свидетельства о его профессиональной ориентации и аттестации…» <11>. Законодательное определение использует весьма тождественный критерий «определенность», «т. е. информации об определенном или определяемом на основании такой информации физическом лице». ——————————— <10> См.: Фатьянов А. А. Тайна и право (основные системы ограничения на доступ к информации в российском праве). М., 1999. С. 188. <11> Бачило И. Л. Информационное право. Основы практической информатики: Учеб. пособие.

Так или иначе можно сделать вывод о том, что здесь идет речь о некой связи между субъектом и данными, что и делает их в полной мере «персональными». Однако использование только критерия «идентификации» («определенности», «тождественности») и аналогичным ему синонимам можно назвать не совсем удачным, учитывая, что процесс идентификации (отождествления, определения личности) в качестве критерия разграничения персональных данных от других категорий сведений неизбежно приведет к множеству споров о возможности или невозможности установить лицо на основании той или иной совокупности сведений о нем. О. Б. Просветова также придерживается мнения о нецелесообразности сужения значения персональных данных лишь к сведениям, позволяющим идентификацию личности, что, по ее мнению, не соответствует ст. 24 Конституции, которая охватывает все сведения о частной жизни лица <12>. Г. Бребант справедливо отмечает, что в настоящее время с развитием технологий обработки полученной информации потенциально расширяется возможность идентификации лица по какому-либо фрагменту информации. В связи с этим, с его точки зрения, справедливо расширение значения персональных данных до указания на информацию так или иначе связанную с субъектом, приводя в качестве примера фрагменты звуко-, видеозаписей, почерка, текста с особенностями морфологии и стиля <13>. ——————————— <12> См.: Просветова О. Б. Защита персональных данных: Дис. … канд. юрид. наук. М., 2005. С. 26. <13> См.: Braibant Guy. Donn es personnelles et soci t de l’information. Paris, 2000. C. 76 — 77.

С таким утверждением трудно не согласиться, но, с другой стороны, это привело бы к значительным трудностям в определении как самих «персональных данных», так и в сфере действия законодательного акта, поскольку в таком случае потенциально практически вся социальная информация может быть связана с конкретной личностью, что породило бы массу сложностей. Возвращаясь снова к одному из наиболее авторитетных источников в сфере правового регулирования обработки персональных данных на общеевропейском уровне — Директиве Европейского парламента и Совета ЕС 95/46/EC, стоит отметить, что в определении здесь использовано несколько существенных уточнений. В ст. 2 Директивы персональные данные рассматриваются как «информация о конкретном/определенном или определяемом индивиде («субъекте данных»); определяемым является лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификационный номер или на один или несколько факторов, специфичных для его физической, психологической, ментальной, экономической, культурной или социальной идентичности» <14>. Такое определение ясно подчеркивает мысль о возможности установления связи на основании фрагмента информации между субъектом персональных данных и данными, прямо или косвенно находящимся в рамках информационной системы, путем указания на его какие-то индивидуальные особые признаки, идентификационный номер (код), называемый еще персональным идентификатором. Очевидно, сама информационная система должна содержать информацию — данные об уникальных особенностях личности, что позволяло бы ее связать с ней, т. е. идентифицировать или определить, а чаще всего содержит прямое указание на конкретного индивида, т. е. субъекта данных. Следовательно, персональные данные — это данные, которые связаны с индивидом — субъектом данных и содержат в себе информацию о его уникальных, индивидуальных особенностях или конкретное указание на принадлежность их ему. Например, удаление из файла-досье имени и фамилии, даты рождения и места, других уникальных для лица информационных признаков может привести к его обезличиванию, т. е. утрате их связи с субъектом. ——————————— <14> URL: http://eur-lex. europa. eu/LexUriServ/LexUriServ. do? uri=CELEX:31995L0046:EN:NOT

Таким образом, можно сделать вывод о некотором несовершенстве определения персональных данных в российском Законе, прежде всего в части конкретизации «персональных данных» именно как «данных», в их связи с другими определениями, такими, как «информационная система персональных данных», «база/банк персональных данных», что пока, к сожалению, не сделано. Кроме этого, по мнению автора, было бы желательно подчеркнуть в законодательном определении связь субъекта и данных, т. е. наличие там указания на уникальные особенности личности, позволяющие идентифицировать ее с ними.

——————————————————————