(Бачило И. Л.) («Законы России: опыт, анализ, практика», 2006, N 11)
ВАЖНЫЙ ШАГ В РЕГУЛИРОВАНИИ ИНФОРМАЦИОННЫХ ПРАВ ГРАЖДАН
К ПРИНЯТИЮ ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» <*>
И. Л. БАЧИЛО
——————————— <*> Статья подготовлена при поддержке РФФИ, проект N 06-06-80303-а.
Иллария Лаврентьевна Бачило, доктор юридических наук, профессор, заведующая сектором информационного права ИГП РАН, заслуженный юрист РФ.
В конце августа 2006 г. принят долгожданный Федеральный закон «О персональных данных». Он призван урегулировать отношения по поводу большого и сложного массива в структуре информационных ресурсов России. Важно уяснить значение этого Закона в упорядочении отношений всех субъектов, работающих с персональными данными, права и обязанности самих граждан в использовании сведений о них. Ратификация Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» и принятие нового Закона выравнивают положение страны в мировом информационном пространстве и упорядочивают правила работы с такими данными.
Как образуются персональные данные, кто и зачем их использует?
Дополнительно к давно известным и реализуемым природным, техническим, материальным, людским ресурсам мир к середине XX в. осознал значение такого социального ресурса, как информация. Все, что нас окружает, порождает информацию и подвергается воздействию человека через информацию. Сам человек создает, непрерывно воспринимает и использует информацию — сведения об окружающем мире. Эти сведения образуют сложные системы информационных продуктов и средств их восприятия. В составе информационных ресурсов сведения, касающиеся каждого конкретного человека, формируют такую категорию, как персональные данные (далее — ПД), а также информацию, которая касается только частной жизни конкретных лиц и часто образует массив личной тайны. Специалистов занимает вопрос: как соотносятся эти две категории: персональные данные и информация о частной жизни. Мнения разные: совпадают, включаются одна в другую как сегмент, не совпадают. Заметим, что один из первых международных документов по вопросам ПД был создан в форме «Основных положений организации по экономическому сотрудничеству и развитию (ОЭСР) о защите неприкосновенности частной жизни и международных обменов персональными данными» и был принят в сентябре 1980 г. В нем ПД определялись как «любая информация, относящаяся к индивидууму («субъекту данных»), чья личность либо известна, либо может быть установлена» <1>. ——————————— <1> Здесь и далее по тексту ссылки на международные акты и законы зарубежных государств даны по книге: Бачило И. Л., Сергиенко Л. А., Кристальный Б. В., Арешев А. Г. Персональные данные в структуре информационных ресурсов. Основы правового регулирования. Минск, 2006, где содержатся указания на первоисточники этих актов и авторов перевода.
С тех пор были приняты важные документы ЕС: Конвенция о защите физических лиц в отношении автоматизированной обработки данных личного характера (28 января 1981 г.); Дополнительный протокол к данной Конвенции от 8 ноября 2001 г.; Директива N 95/46/ЕС от 24 октября 1995 г. о защите личности в отношении обработки персональных данных и свободного их перемещения. В качестве примера национального законодательства по этим вопросам назовем такие акты, как Закон Венгрии 1992 г. «О защите персональных данных и о публикации данных, представляющих общественный интерес»; испанский «Органический закон о защите персональных данных» от 13 декабря 1999 г.; Закон Финляндии «О персональных данных» от 22 апреля 1999 г.; Закон «О защите персональных данных» Швеции от 29 апреля 1998 г.; Закон Республики Польши с аналогичным названием 1997 г. с поправками 2002 г.; Закон Дании «Об обработке персональных данных» от 31 мая 2000 г. В 1999 г. Межпарламентской Ассамблеей стран — участников СНГ был принят Модельный закон «О персональных данных». Как видим, в названных нормативных актах применяются термины: «данные о частной жизни», «данные личного характера», «персональные данные». Представляется, что называемые категории информации пересекаются, но неидентичны и в разной степени являются «чувствительными» и уязвимыми. Предметом рассмотрения в данном случае является российский Закон, регулирующий отношения, связанные с информацией, которая относится к персональным данным. Любое упоминание о ПД ассоциируется, прежде всего, с проблемой доступа к ним и обеспечением их защиты. Не случайно в Федеральном законе «Об информации, информатизации и защите информации» 1995 г. вопрос о персональных данных был отождествлен со всей информацией о гражданине и акцентировал внимание на ограничении доступа к этому виду информации (ст. ст. 11, 14) <2>. В п. 1 ст. 11 этого Закона содержалась норма, согласно которой ПД относятся к конфиденциальной информации и что перечни ПД должны быть закреплены на уровне федерального закона. ——————————— <2> СЗ РФ. 1995. N 8. Ст. 609.
Федеральный закон «Об информации, информационных технологиях и защите информации» в статье о принципах правового регулирования отношений в сфере, регулируемой данным Законом (ст. 3), в п. 7 в качестве принципа называет «неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия». В ст. 9 об ограничении доступа к информации этот Закон содержит нормы, которые позволяют косвенно различать информацию, «составляющую личную или семейную тайну, и запрет на получение такой информации помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами» (п. 8), и персональных данных, порядок доступа к которым «устанавливается федеральным Законом о персональных данных» (п. 9). Прежде чем перейти к характеристике ФЗ «О персональных данных» <3>, важно уяснить, как возникает эта категория информации и какое социальное и конкретное значение имеет для индивида. Представляется, что такая характеристика ПД, как «чувствительность», не означает только степень уязвимости персональных данных о физических лицах и необходимость их защищать особым образом. ——————————— <3> СЗ РФ. 2006. N 31. Ст. 3451.
Правовое регулирование персональных данных, включая защиту прав граждан в этой части, является институтом, равного которому по степени легализации связи каждого субъекта с обществом нет. Новый человек приходит в мир из определенного общества, имеющего свою историческую природу, традиции, принципы, правила, мораль, нравственность. Через родителей индивид изначально несет запас информации не только через ДНК, но и в своем подкорковом сознании. Это его первый шаг в новое поколение. Ему предстоит проявить себя и как человека вообще, и как конкретную личность с определенным потенциалом креативности, культуры, навыков и поведения. Это носитель эстафеты земной цивилизации в каждый данный момент времени. Его персональная характеристика через сопровождающую его информацию — не что иное, как визитная карточка в среде, в которой ему приходится пребывать в течение своего человеческого века и после того, как он оставит больший или меньший след своего пребывания на земле для следующих поколений. Сегодня, когда, по мнению известного американского журналиста Томаса Фридмана, благодаря развитию информационных технологий на третьем этапе глобализации мир стал «плоским», проблема использования персональных данных и наблюдение за трансформацией личности не только в рамках селения, государства, стран, но в глобальных масштабах становится реальной. Интернет и электронная коммерция вместе с массой других явлений набрали обороты. Особенность третьего этапа в том, что он — уже «сформировавшийся потенциал для глобального сотрудничества и конкуренции, который теперь доступен отдельной личности». Теперь «каждый человек должен и способен задать вопрос: каково мое место в глобальном соревновании и сегодняшней перспективе и как мне самому сотрудничать с другими людьми на глобальном уровне?» <4> ——————————— <4> Фридман Т. Краткая история XXI века / Пер. с англ. М. Колопотина. М.: АСТ Москва; Хранитель, 2006. С. 16.
Видеть значение персональных данных и того, что мы называем privacy (свидетельствами о частной жизни), только через призму степени доступа к ним других лиц и даже через призму механизмов защиты этих данных со стороны государства недостаточно. Персональные данные — это нити, связывающие человека с обществом и всеми его институциями, в первую очередь с теми, которые для себя выбирает каждый отдельный человек. Нравственные основы жизни мира и законы создают единую правовую основу, канву для индивидуализации и активности человека и гражданина. Жизнь и поступки человека в соответствии с этой основой — равной для всех и каждого по закону — материализуются исключительно по его собственному желанию, его способностям и возможностям. Представлявшие проект ФЗ «О персональных данных» должностные лица подчеркивают его значение для введения запрета на сбор, обработку и распространение персональных данных гражданина без его согласия. Это верно, но неполно. Это и закон о порядке формирования и оформления своих данных в соответствии с установленными правилами от имени государства и общества в процессе своей персональной включенности (активной или пассивной) в жизнь общества. Это и след, и свидетельство о социальной биографии. Персональные данные — это не только защищаемая, охраняемая от искажения, злоупотребления ею категория информации, но и то, чем человек может гордиться и чувствовать свою причастность к большому коллективу. Это инструмент социализации и степени социальности личности. Честный человек не может стыдиться или укрывать свои персональные данные и при необходимости использует их в рамках закона. У гражданина не может возникнуть отторжения от правила, по которому государственные органы для решения общегосударственных задач и обеспечения прав и интересов конкретного человека в рамках закона и их правового статуса должны оперировать его персональными данными. Эта первостепенная задача не снижает важности проблемы охраны, защиты ПД и прав их носителя в процессе обращения этих данных в сетях, а также при их обработке с определенными целями, при передаче в системах управления через каналы сети Интернет. С учетом сказанного можно раскрыть значимость только что принятого ФЗ, общего определения ПД как информации о конкретном физическом лице, позволяющей его идентифицировать. По содержанию и значимости персональные данные — это такие сведения, которые формируются по личному желанию индивида и на основе закона в процессе контакта индивида со структурами публичной власти, общественными и частными структурами, с другими индивидами в процессе его жизненного цикла, используются в социальной среде в его интересах и в интересах государства, обеспечиваются охраной и защитой как самого индивида, так и государства на основе международных норм и национального законодательства. Это научный взгляд на предмет регулирования ФЗ.
О предмете, целях и структуре российского Закона «О персональных данных»
Федеральный закон «О персональных данных» (ст. 1) регулирует отношения, связанные с обработкой ПД, «осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее — государственные органы), органами местного самоуправления (далее — муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации». Закон определяет понятие ПД в ст. 3 (п. 1). Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Заметим, что слова «любая информация» и завершающее слово в этом определении «другая информация» по существу делают перечень открытым и фиксируют отсутствие критериев, по которым те или иные сведения о человеке относятся к ПД. Предмет регулирования в целом ясен. Это обработка ПД преимущественно на основе информационных технологий. Статья 1 Закона содержит четыре ограничения его применения. Это случаи, которые касаются: 1) обработки ПД физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов ПД; 2) организации хранения, комплектования, учета и использования содержащих ПД документов Архивного фонда РФ и других архивных документов в соответствии с законодательством об архивном деле в РФ; 3) обработки подлежащих включению в Единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством РФ в связи с деятельностью физического лица в качестве индивидуального предпринимателя; 4) обработки ПД, отнесенных в установленном порядке к сведениям, составляющим государственную тайну. Очень важно уяснить цель Закона. Она сформулирована достаточно лаконично. Согласно ст. 2 «целью Закона является обеспечение защиты прав и свобод человека и гражданина при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну». Для оценки содержания Закона и его соответствия цели, сформулированной как защита прав и свобод человека и гражданина, стоит посмотреть на его содержание. При этом становится очевидно, что регулируемые отношения гораздо шире, чем только защита. Так, если сравнить российский Закон с Законами Республики Польши и Испании, то можно сделать вывод об отсутствии принципиальных расхождений относительно требований Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» 1981 г., ратифицированной Российской Федерацией одновременно с принятием ФЗ «О персональных данных». Однако в зарубежном законодательстве больше внимания уделяется процедурам, порядку реализации установленных норм, ответственности и санкциям за правонарушения. При характеристике российского Закона важно отметить, что в системе нормативно закрепленных дефиниций находится определение обработки ПД. Под этим термином Закон понимает следующие действия (операции): сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение ПД. Принципы обработки ПД включают: 1) законность целей и способов обработки ПД и добросовестность; 2) соответствие целей обработки ПД целям, заранее определенным и заявленным при сборе ПД, а также полномочиям оператора; 3) соответствие объема и характера обрабатываемых ПД, способов обработки ПД ее целям; 4) достоверность ПД, их достаточность для целей обработки, недопустимость обработки избыточных ПД по отношению к целям, заявленным при сборе ПД; 5) недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем ПД. Федеральным законом введены понятие и условия обработки такой категории ПД, как «специальные категории». К ним по ст. 10 отнесена информация, которая касается расовой, национальной принадлежности, политических взглядов, религиозных, философских убеждений, состояния здоровья, интимной жизни. Обработка этих данных не допускается, за исключением случаев, предусмотренных в п. 2 этой статьи. Всего таких ограничений восемь. В системе ПД выделены и такие, которые находятся в «общедоступных источниках персональных данных» (ст. 8). Законом легализованы и биометрические ПД — сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность. Они могут обрабатываться только при наличии согласия субъекта ПД, за исключением случаев, когда осуществляется правосудие, реализуется законодательство РФ о безопасности, оперативно-розыскной деятельности, законы о государственной службе, уголовно-исполнительное законодательство, а также нормы законов о порядке выезда и въезда в Российскую Федерацию (ст. 11).
Вопросы, требующие уточнений и развития в нормативной правовой регламентации
Первый вопрос касается субъектов отношений, связанных со всем комплексом деятельности, охваченной понятием «обработка». Совершенно очевидно, что реализация этих действий осуществляется разными субъектами, с различными правовым статусом и набором прав и обязанностей. В тексте Закона все разнообразие субъектов представлено термином «оператор». Под оператором законодатель понимает «государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных» (п. 2 ст. 3). В ст. 3 «Основные понятия, используемые в настоящем Законе» ничего не сказано о главном субъекте отношений. Ни в этой статье, ни в других нет определения субъекта ПД. В ст. 23 назван уполномоченный орган по защите прав субъектов персональных данных. На этом вопрос о дифференциации субъектов отношений, регулируемых этим Законом, завершается. В связи с этим возникают следующие вопросы. 1. Из п. 1 ст. 3 узнаем, что субъектом ПД выступает физическое лицо. Это косвенно вытекает из определения понятия «персональные данные». Но какие физические лица являются субъектами ПД в Российской Федерации, как они связаны с Законом, с Конституцией РФ, с юрисдикцией Российской Федерации узнать невозможно. 2. Положение о разделении операторов на «организующих» и «осуществляющих» обработку ПД не находит развития в Законе. Но в связи с этим вопросы возникнут в дальнейшем, когда речь пойдет о конкретных действиях и реализации прав субъектов ПД. Немаловажный из них: кто и в какой степени пользуется ПД, собранными и находящимися в информационных системах, которые создают государственные и муниципальные органы (ст. 13) — главные операторы обработки? На этой почве могут возникнуть проблемы при распределении ответственности в случаях конфликтов и нарушений различных участников процесса обработки и использования ПД. Статья 13 и предназначена для этого. Но далее не раскрывается тема более определенного разделения операторов на две группы по функциональному признаку. Органы государственной власти, органы МСУ и других организаций, которые определяют цели сбора и направления работы с информацией по ПД и которые создают АИС ПД, — операторы как бы первого уровня. АИС ПД могут быть как подразделениями операторов первого уровня, так и специализированными организациями (ГУПы или частные организации), которым в порядке аутсорсинга передаются функции по обработке ПД. Это операторы условно второго уровня. Неизбежно возникнут вопросы: кто из них реализует постановку целей обработки, критерии систематизации информации, определяет источники информации, круг обслуживаемых субъектов ПД? Причиной неясности в данном случае является отсутствие обозначения конкретных функций или порядка их разграничения, сферы ответственности. 3. В Законе не упоминается о такой категории субъектов, как пользователь. Органы государственной власти, органы МСУ, юридические лица, выступая организаторами обработки ПД, одновременно являются и пользователями получаемого продукта в результате обработки. Пользователями могут быть и иные субъекты, правовой статус которых в данном случае имеет важное значение. Права и обязанности пользователя источниками ПД важно определить с учетом реализации задач и целей как государства, так и всего общества, а главное — обеспечения прав и интересов граждан — субъектов ПД. Ответственные субъекты за эту фазу работы с ПД должны быть обозначены. Сбор, систематизацию (по целям), накопление, хранение, уточнение, блокирование могут осуществлять АИС ПД по договору с государственными органами, органами местного самоуправления, другими субъектами или по положению (уставу) этих организаций (подразделений), о чем в тексте Закона ничего не сказано. Но использование, а равным образом распространение — действия неоднозначные. АИС ПД сама использовать ПД не имеет права, кроме как в процессе обработки. Распространять только в системе оператора — заказчика или администрации органа. Другие формы распространения ПД должны быть строго определены нормативно. Не случайно в Законе Испании есть нормы об электронных картотеках государственных лиц и частных лиц. Учитываются правовые статусы этих субъектов. Нельзя сказать, что формулировка п. 6 ч. 2 ст. 6 достаточно ясна при определении журналиста и иных субъектов творческих профессий как пользователей. Там сказано, что обработка ПД «осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных». Кто и в какой степени контролирует нарушения в таких случаях? Обезличивание ПД осуществляется тоже по установленному порядку и при соответствующих распорядительных документах компетентного органа. Обращаем внимание на комплекс вопросов, касающихся субъектов обработки ПД, их правового статуса в области работы с ПД, потому что вопрос об ответственности каждого из обозначенных видов субъектов обработки потребует детализации и принятия дополнительных нормативных правовых актов. Статья об ответственности (24) сформулирована стандартно и неконкретно. Представляется, что применение Закона в этой части потребует подробных комментариев. А главное — разработки подзаконных актов для определения сферы ответственности каждого вида субъектов, порядка разграничения функций между ними. Более тщательно могла быть решена проблема хранения и уничтожения ПД. Существуют сроки хранения, установленные Законом «Об архивном деле», независимо от носителя. Они касаются и электронных документов, содержащих персональные данные <5>. Как известно, относительно определенной части ПД, учитываемых, например, в системах кадров, эти сроки достаточно большие — 75 лет. В п. 3 ст. 21 сказано о трех вариантах уничтожения ПД безотносительно к их категории и признакам. ——————————— <5> См.: ФЗ «Об архивном деле», ст. 1 // СЗ РФ. 2004. N 43. Ст. 4169.
Если первый вариант оснований для уничтожения оператором ПД в случаях выявления «неправомерных действий с персональными данными» и невозможности устранить этот факт в срок, не превышающий трех рабочих дней с даты такого выявления, несмотря на громоздкость формулировки, понятен, то второй — по п. 4 ст. 13 требует большего внимания. По Закону «Об архивном деле» решение об уничтожении документов вообще проходит в особом порядке. Относительно ПД работают нормы о сроках хранения, и с такой легкостью, как это сказано в ст. 21, этого сделать нельзя. В соответствии с пп. 4 этой же статьи ПД уничтожаются в случаях достижения цели обработки ПД. Представляется, что цель обработки в зависимости от комплекса реализуемых операций оператором второго уровня состоит в создании определенного информационного результата (продукта), который используется заказчиком. В связи с этим незамедлительное уничтожение ПД после достижения цели вызывает вопросы, которые требуют уяснения. Прежде всего необходимы дифференциация форм результатов обработки и их адресность, режим использования. По этому поводу специалисты высказывались еще в период обсуждения проекта Закона. Однако они не привлекли должного внимания. Оговорка «если иное не предусмотрено федеральными законами» не решает дела. Не многие действующие законы обращают внимание на обработку ПД (кроме Трудового, Налогового кодексов, ФЗ «О кредитных историях»). Недостаточно и общей отсылки к законодательству об архивном деле в п. 2 ст. 1 Закона. Там сказано, что Закон «О персональных данных» не распространяется на отношения, возникающие при «организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации». При постановке вопроса об обработке ПД в режиме управленческого и делового обращения ПД речь идет о временном хранении ПД у того субъекта, который в соответствии с его компетенцией собирает, учитывает, хранит и использует эту информацию. Известно, что в архивной практике процедура уничтожения информации, тем более связанной с ПД, регулируется особым режимом. А поскольку в соответствии с ФЗ «Об архивном деле» правила хранения распространяются и на электронные документы, то с ними приходится считаться и на этапе оперативной работы как с объектами временного хранения. Простая отмашка от архивного законодательства не решает эти вопросы до конца. Уничтожение ПД в указанных случаях должно быть согласовано с архивным законодательством, по крайней мере в части управленческой документации. Не случайно на XI Международной научно-практической конференции в ноябре 2004 г. обращалось внимание на обеспечение более тесного сотрудничества специалистов ИТ, ДОУ (документальное обеспечение управления) и других заинтересованных сторон: деловых подразделений, юридических служб, служб внутреннего контроля. Эти вопросы отражены и в резолюции конференции <6>. ——————————— <6> Документация в информационном обществе: административная реформа и управление документацией: Доклады и сообщения на XI Международной конференции… М., 2005. С. 82 — 83, 356 — 358.
В Законе «О персональных данных» Венгерской Республики <7>, например, сказано, что «Положение об обязательном уничтожении данных, за исключением случаев их незаконного использования, не применяется к персональным данным, сведения о носителе которых подлежат архивному хранению в соответствии с законодательством об охране архивных материалов» <8>. В Законе Испании в разделе о картотеках государственных лиц содержится норма, которая гласит: «В распоряжениях, принимаемых для уничтожения картотек, должно быть указано предназначение этих картотек и должны быть предусмотрены меры по их уничтожению». В других случаях говорится не об уничтожении, а об «изъятии» ПД <9>. Именно подобных норм в российском Законе не предусмотрено. Поэтому неясно, кто принимает решение и в какой форме, с каким обоснованием. Если по решению субъекта ПД, то целесообразно прекратить обработку данных, можно даже изъять их из базы данных, но история работы с такими данными должна сохраняться в архиве АИС определенного субъекта, в компетенции которого предусмотрена работа с ПД. ——————————— <7> См.: Персональные данные в структуре информационных ресурсов… С. 253 — 267. <8> См.: Персональные данные в структуре информационных ресурсов. Основы правового регулирования. Приложения. С. 258. <9> Там же. С. 282, 284.
Согласно пп. 3 п. 3 ст. 23 уполномоченный орган по защите прав субъектов ПД имеет право требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем ПД. Даже эта более точная формулировка не разъясняет, какие могут быть последствия после уничтожения. Еще один вопрос, связанный с субъектами, действующими в зоне работы с ПД. Прерогатива создания должности Уполномоченного по правам человека, в том числе и в области защиты прав субъектов ПД, принадлежит, согласно Конституции РФ, Государственной Думе. Уполномоченный по правам человека — это особый институт. Уполномоченным органом по защите прав субъектов ПД вряд ли может быть орган исполнительной власти отраслевого направления. Защита прав обеспечивается правоохранительными органами. Большая работа в области защиты прав граждан осуществляется институтом Уполномоченного по правам человека на основе федерального закона. Но даже если допустить, что деятельность уполномоченного органа будет (пока его нет) осуществляться Министерством информационных технологий и связи, соответствующая компетенция должна быть утверждена парламентом или Правительством РФ. Закон мимоходом задел весьма важный вопрос как для субъектов РФ, так и для федерального уровня управления. Он касается государственного регистра населения. Ни один национальный проект, ни одна реформа, да и любая отраслевая и функционально определенная задача в деятельности государства не могут быть реализованы без учета численности, состава и состояния необходимых параметров населения <10>. Закон о ПД предусмотрел возможность (может быть создан) государственного регистра населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом. Здесь два замечания. Почему вопрос о государственном регистре населения и показателях ПД, в нем содержащихся, нельзя было решить данным Законом. Это во-первых. А во-вторых, причина создания ГРН объяснена весьма узко. В п. 4 ст. 13 сказано: «В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах может быть создан государственный регистр населения…». Закон ушел от легитимации связи ПД с решением социальных и иных проблем граждан и самого государства и общества в целом. Связь только с технологией, с обработкой данных. Представляется, что это воздействие технократического взгляда на проблему. Но здесь важен аспект социальный, управленческий, установление, в каких целях нужны и используются ПД. Статья сформирована без учета того, что ГРН уже созданы и используются многими субъектами Российской Федерации. ——————————— <10> Сергиенко Л. А. Новые подходы к государственному персональному учету населения в Российской Федерации // Теоретические проблемы информационного права. М., 2006. С. 201 — 210.
И последнее. Это наблюдение касается полноты создания правовой основы для реализации всех направлений обработки и работы с ПД. В определении термина «обработка», о чем мы уже говорили, перечислены девять видов работ — действий (операций) с ПД разных операторов. Но в тексте Закона, в главе 4 «Обязанности оператора», речь идет только о сборе, обеспечении безопасности, об устранении нарушений законодательства, допущенных при обработке, а также об уточнении, блокировании и уничтожении ПД, об уведомлении об обработке и праве обрабатывать ПД без уведомления уполномоченного органа по защите прав субъектов ПД. И это все правильно. Однако такие формы работы (операции), как систематизация, распространение, использование (в том числе передача через глобальные сети), остались за пределами внимания законодателя. И это притом, что рынок наполнен базами ПД самых различных орга нов и систем. В Законе содержится специальная статья о трансграничной передаче ПД. Такая передача может осуществляться по желанию самого субъекта ПД и в силу Закона. Существует много международных договоров об обмене информацией, в том числе и ПД в условиях борьбы с преступностью, террористической и прочей опасной для общества деятельностью. На первом плане при этом — обеспечение безопасности этих данных. И ст. 12 ФЗ говорит об этом. Степень защиты у принимающей ПД стороны не может быть ниже, чем у передающей. В связи с трансграничной передачей ПД актуален вопрос о признании ЭЦП в разных информационных и правовых системах. Но если к ПД относятся сведения личного характера по определенным вопросам, биометрические ПД, то вопрос о личной, аналоговой, электронно-цифровой подписи не включается в систему ПД. Возможно, это тема для обсуждения? Несмотря на множество вопросов, которые возникают и еще возникнут в практике его применения, следует в целом позитивно оценить сам факт принятия ФЗ «О персональных данных». Значимость любого закона определяется не только тем, что он регулирует определенный комплекс вопросов, волнующих общество, но и в том, что он пробуждает устремление науки и практики к размышлениям о дальнейших путях совершенствования правовой основы тех или иных отношений в обществе. Закон о персональных данных успешно выполнил эту роль, и надо думать, что в скором времени активизация на правовом поле информатизации пополнится новыми нормативными правовыми актами, создающими прочную основу для регулирования прав и ответственности граждан и всех иных структур публичного и частного секторов российского общества.
