-
Автор:
-
Гребнев Георгий Андреевич,
студент I курса Института стран
Азии и Африки при МГУ им. М.В. Ломоносова,
историческое отделение
-
Направление:
-
Информационная безопасность
-
Тема:
-
Приватность в российском интернете.
Конфликт интересов и актуальные проблемы
-
Аннотация
-
В настоящей работе дан
обзор актуальных проблем,
связанных с обеспечением
«приватности» при
использовании интернета;
раскрыты основные
понятия, связанные с
обеспечением «приватности»
и защиты «персональных
данных», составлен
обзор истории
обеспечения «приватности»
и защиты «персональных
данных» в
международной практике,
даны сведения о текущих
тенденциях
законодательного
регулирования отношений,
связанных с обеспечением
приватности и защиты
персональных данных, в
международной и
российской практике.
В работе приведена попытка
систематизации
мотивационных установок
сторон, заинтересованных
в ограничении или
усилении обеспечения
приватности; указаны
основные проблемы, по
причине которых на
текущем этапе решение
проблемы обеспечения
приватности по-настоящему
затруднено; предложены
основные принципы
решения проблемы
обеспечения приватности
и защиты персональных
данных, принятие которых
могло бы положить
основание для
конструктивного диалога
сторон.
Понятие «приватности».
Принципы регулирования
отношений, связанных с
«приватностью»
защитой персональных
данных, в мировой
практике
При
законодательном
регулировании отношений,
связанных с «приватностью»
и «персональными
данными» (далее эти
термины мы будем
приводить без кавычек),
терминология
представляет одну из
наиболее сложных проблем.
Следует отметить,
что понятие приватности
более свойственно
государствам англо-саксонской
правовой системы.
Разница обуславливает не
только
терминологическое
различие, но и различие в
механизмах защиты: если
персональные данные
определяют объект, в
отношении которого
обеспечивается защита,
то приватность
обозначает, в первую
очередь, подлежащее
защите право или
законный интерес
человека в применении к
различным (зачастую не
определенным) объектам.
Понятие приватности
имеет более длительную
историю; в
законодательной
практике оно стало
употребляться с конца XIX
века. В то же время,
появление понятия
персональных данных было
напрямую обусловлено
развитием компьютерных
технологий, которое
заставило по-новому
посмотреть на старый
вопрос обеспечения
приватности. Первый
подобный закон о защите
персональных данных был
принят в земле Гессен в
Германии в 1970 году.
Существует
множество различных
подходов к определению
приватности и
персональных данных.
Разница между этими
подходами определяется
как объективными
факторами (степенью
проработанности
предложенного
определения,
использованием
различных базовых
понятий), так и
мировоззрением авторов
определений. Так,
существуют определения
приватности, в
соответствии с которыми [1]:
она является естественным
стремлением человека
иметь физическое
пространство, где он
может быть свободен от
воздействия и
вмешательства со стороны
других лиц и
необходимости отвечать
перед кем-либо, а также стремлением
предпринимать попытки
контролировать время и
характер раскрываемой о
нем личной информации [2];
она является состоянием
человека, состоящим из
трех аспектов: тайны,
анонимности и уединения,
причем, это состояние
может быть изменено по
личному решению человека
или под действием других
лиц [3];
правом
человека на защиту от
вмешательства в его
жизнь и деятельность, а
также жизнь и
деятельность членов его
семьи, путем прямого
физического воздействия
или посредством
публикации информации [4].
Поскольку в
российской
законодательной
практике понятие
приватности не
используется, для нас
больший практический
интерес представляют
персональные данные.
Существует несколько
законодательных
определений этого
термина. Так, Директива
95/46/ЕС Европейского
парламента и Совета
Европейского Союза от 24
октября 1995 года о защите
прав частных лиц
применительно к
обработке персональных
данных и о свободном
движении таких данных
дает более
ограничительное
определение:
“персональные
данные” означают
любую информацию,
связанную с
идентифицированным или
идентифицируемым
физическим лицом (“субъектом
данных”);
идентифицируемым лицом
является лицо, которое
может быть
идентифицировано прямо
или косвенно, в частности,
посредством ссылки на
идентификационный номер
или на один или несколько
факторов, специфичных
для его физической,
психологической,
ментальной,
экономической,
культурной или
социальной идентичности [5].
В российском
законодательстве
понятие персональных
данных дается в
Федеральном законе «Об
информации,
информатизации и защите
информации» от 25 февраля 1995 года № 24-ФЗ:
информация о
гражданах (персональные
данные) — сведения о
фактах, событиях и
обстоятельствах жизни
гражданина, позволяющие
идентифицировать его
личность.
Очевидно, что между
толкованиями
процитированных
зарубежных документов и
Федеральным законом есть
существенная разница.
Если в первом случае
персональные данные
определяются по критерию
их связи с лицом, то во
втором – по критерию
их применимости для
задачи определения
личности. Первый подход
представляется более
последовательным: сами
по себе сведения о фактах,
событиях и
обстоятельствах жизни
гражданина, как правило,
позволяют
идентифицировать его
личность, только будучи связанными
с соответствующим
гражданином.
Кроме того,
представляется
неудачным понятие «информация
о гражданах»,
предложенное
Федеральным законом:
например, сведения о
количестве населения в
отдельном населенном
пункте являются «информацией
о гражданах» с позиций
здравого смысла, но к «персональным
данным» отношения,
безусловно, не имеют.
Во всех
процитированных случаях
авторы нормативных актов
фактически ставят знак
равенства между
терминами «данные»
и «информация».
В первую очередь,
проблема обращения
персональных данных в
интернете является
частью более широкой
проблемы обращения
персональных данных где
бы то ни было. В мировой
практике существует два
подхода к регулированию
рассматриваемого
явления: отраслевой с
элементами
саморегулирования (мы
условно назовем этот
способ «американской
моделью») и
комплексный,
направленный на
регулирование всей
совокупности отношений,
связанных с обращением
персональных данных,
независимо от их
характера, целей и
источников получения (условно
назовем «европейской
моделью»).
В первом случае
законодатель изначально
не формулирует
конкретных требований к
регулированию обращения
персональных данных,
оставляя этот вопрос на
усмотрение граждан и
организаций, которые
сами под действием
рыночных механизмов и
иных факторов определяют
правила обращения
персональных данных и
таким образом
осуществляют «саморегулирование».
Вместе с тем, в случаях
нарушения приватности
граждане могут
отстаивать свои интересы
в судебном порядке.
В отдельных случаях
в рамках американской
модели принимаются
отраслевые нормативные
акты, регулирующие
обращение персональных
данных в связи с
отдельными сферами
гражданских отношений (например,
могут существовать
нормативные акты,
регулирующие порядок
обращения с финансовыми
данными или с
персональными данными в
сфере телекоммуникаций).
Оформление
европейской модели
связано с упомянутыми
ранее Директивой 95/46/ЕС
Европейского парламента
и Совета Европейского
Союза от 24 октября 1995
года и с более ранней
Конвенцией Совета Европы
о защите личности в связи
с автоматической
обработкой персональных
данных от 28 января 1981
года [6].
В соответствии с этой
моделью вводятся
универсальные правила
защиты персональных
данных, действительные
при обработке
персональных данных как
в публичном, так и в
частном секторе. Другая
существенная
особенность
европейского подхода
– наличие
контролирующего органа,
как правило, не
подчиненного напрямую
правительству, в задачи
которого входит
обеспечение соблюдения
законодательных норм в
сфере защиты
персональных данных.
Сфера компетенции этого
органа в разных странах
может быть различной.
«Саморегулирование»
субъектов рыночных
отношений в области
обращения персональных
данных как таковое также
имеет значение в
европейской модели, но
является второстепенным
по отношению к
действующему
законодательству.
Таким образом,
проблема обращения
персональных данных в
интернете может
рассматриваться
самостоятельно только в
том случае, если по какой-то
причине принято решение
ограничиться
регулированием
отдельной отрасли. Если
же придерживаться более
близкой к российской
правовой
действительности
европейской модели, то
законодательное
регулирование обращения
персональных данных в
интернете неотделимо от
регулирования обращения
персональных данных в
целом.
Развитие
телекоммуникаций
привело не только к
расширению человеческих
возможностей, но и к
появлению новых угроз
приватности. Эта
проблема остается
актуальной и для
интернета: существует
опасность постороннего
доступа к электронной
переписке, различным
текстовым сообщениям,
голосовым данным.
В целом, вопросы
защиты тайны связи в
международной практике
достаточно хорошо
регулируются
нормативными актами,
посвященными защите
персональных данных.
Упомянутые ранее
Основные положения о
защите
неприкосновенности
частной жизни и
международных обменов
персональными данными
ОЭСР от 23 сентября 1980
года устанавливают общие
рамки для стран, входящих
в эту организацию. В
Европе существенное
значение имеют
упомянутая ранее
Директива 95/46/ЕС от 24
октября 1995 года, а также
Директива 2002/58/EC
Европейского парламента
и Совета Европейского
Союза от 12 июля 2002 года по
вопросам обработки
персональных данных и
защиты приватности в
секторе электронных
коммуникаций [7].
Тем не менее, иногда
возможности граждан по
обеспечению тайны связи
страдают от чрезмерного
государственного
регулирования, вводящего
неоправданные
ограничения на
использование
криптографических
средств [8].
Эти средства позволяют
добиться достаточно
высокой степени защиты
информации от перехвата
третьими лицами, а также
гарантировать
сохранность информации
на пути к адресату. Кроме
того, реальное
контролирование
использования
криптографических
средств со стороны
государственных органов
едва ли возможно, поэтому
законодательные
ограничения на их
использование во многом
носят условный характер.
Довольно остро
стоит проблема
наблюдения за интернет-активностью
сотрудников со стороны
работодателей при
доступе в интернет с
рабочего места. В
юридической практике
разных государств
существуют различные
подходы к решению этого
вопроса. В американской
судебной практике исход
дела будет зависеть от
того, посчитает ли суд,
что работник имел
достаточные основания
ожидать соблюдения
приватности со стороны
работодателя (reasonable
expectation of privacy). Во Франции
восторжествовал другой
подход: Верховный суд
страны по делу между
компанией Nikon и одним из
ее бывших сотрудников
постановил, что
работодатели не имеют
права просмотра личной
переписки сотрудников [9].
В целом, вопрос о тайне
личной переписки
сотрудников решается в
мировой практике на
основе действующего
законодательства без
создания специальных
нормативных актов.
Обращение
персональных данных в
интернете и вопросы
государственной
безопасности
Несмотря на то, что
инициативы по усилению
законодательного
регулирования обращения
персональных данных в
целях обеспечения
государственной
безопасности
существовали еще в 90-х
годах [10],
наиболее существенные
изменения в этой области
связаны с
террористическими
актами 11 сентября 2001 года.
Одним из наиболее
существенных
последствий этих
трагических событий
стало усиление
государственных мер по
мониторингу (surveillance)
интернета и других
коммуникаций,
отразившееся, прежде
всего, в
антитеррористическом
законе США Patriot Act,
существенно расширившем
полномочия спецслужб [11],
в том числе, в области
контроля над интернетом.
Аналогичные
инициативы были
предприняты и
правительствами других
стран. В Европейском
Союзе наиболее активным
сторонником мер по
усилению
государственных
полномочий выступила
Великобритания, уже в 2001
году принявшая закон,
вводивший хранение (retention)
телекоммуникационных
данных (в т.ч. данных о
работе с интернетом) в
течение
продолжительного
периода времени.
Великобритания
продолжает активно
выступать за принятие
аналогичных мер на
общеевропейском уровне.
В январе 2002 года Закон о
мониторинге почтовых
сообщений и
телекоммуникаций был
принят в Швейцарии, в
соответствии с условиями
которого все интернет-провайдеры
должны предпринять меры,
необходимые для
обеспечения перехвата
телекоммуникационных
данных. В 2000 году широкий
общественный резонанс
получила история об
американской системе
Carnivore («хищник»),
позволяющей
осуществлять мониторинг
интернет-трафика
пользователей в режиме
реального времени.
Соответствующие
устройства помещались у
интернет-провайдеров и
осуществляли мониторинг
интернет-трафика в
режиме реального времени.
Для удовлетворения
общественного протеста
доступ к спецификациям
Carnivore был предоставлен
группе экспертов,
состоящей из технических
специалистов и юристов,
которая в конце 2000 года
опубликовала отчет, в
котором были изучены
технические свойства
системы и соответствие
ее действующему
законодательству, а
также предлагался ряд
рекомендаций по
изменению некоторых
характеристик системы (в
частности, было
предложено
усовершенствовать
работу системы с
персональными данными) [12].
В целом, в последнее
время можно наблюдать
рост тенденций по
увеличению полномочий
государственных органов
в контроле над
деятельностью
операторов связи (в т.ч.
интернет-провайдеров) и в
доступе к данным
пользователей. Наиболее
распространены
следующие меры:
установка
специализированных
устройств по перехвату
интернет-трафика («черные
ящики»);
законодательное
закрепление обязанности
интернет-провайдеров по
хранению интернет-трафика
в течение длительного
времени;
отказ от части
государственных
гарантий по обеспечению
приватности и защиты
персональных данных;
упрощение
процедурного порядка
доступа представителей
силовых структур к
персональным данным
пользователей.
Эти меры вызывают
существенную
озабоченность
активистов в области
защиты приватности и
персональных данных,
утверждающих, что в
основе большинства
принимаемых мер лежат не
интересы обеспечения
общественной
безопасности, а более
общие интересы
политического характера.
В частности, они
указывают, что имеющиеся
скупые сведения о
результативности
подобных мер в борьбе с
терроризмом и
организованной
преступностью явно не
соответствуют затратам
на их внедрение и навряд
ли оправдывают ущерб
приватности, неизбежно
следующий в результате
этого внедрения.
Одной из наиболее
актуальных проблем,
связанных с обращением
персональных данных,
является риск масштабной
утечки этих данных с
последующей публикацией
или без нее. Сюда
относятся как
распространенные в
России случаи появления
в интернете и у уличных
торговцев ведомственных
баз с самыми
разнообразными
сведениями о российских
гражданах и юридических
лицах, так и нашумевшие
истории, связанные с
утечкой персональных
данных у зарубежных
компаний.
Ряд случаев
масштабной утечки
персональных данных,
произошедших в последнее
время в США, усилил в этой
стране движение по
разработке
законодательных
инициатив,
ограничивающих
обращение персональных
данных. Успех
законодательных
инициатив по защите
персональных данных
ознаменует движение США
в сторону европейской
модели защиты
персональных данных,
когда требования по их
обращению и
соответствующие
ограничения
устанавливаются
государственными
органами, а не
определяются
участниками рыночных
отношений
самостоятельно.
Сравнительно новым
риском, напрямую
связанным с интернет-технологиями,
является существование
программ-шпионов,
специально
предназначенных для
сбора персональной
информации
пользователей, в
большинстве случаев, об
этом не осведомленных. К
этой категории относятся:
программы для сбора
информации, введенной с
клавиатуры,
программы,
модифицирующие
настройки браузера (например,
изменяющие исходную
страницу, загружаемую
браузером по умолчанию),
программы,
манипулирующие
электронной почтой
пользователя (изменяющие
содержание писем,
отправляющие письма
автору программы и проч.),
программы,
изменяющие настройки
дозвона до провайдера
интернет-услуг (например,
может быть установлен
международный звонок по
указанному автором
программы номеру),
программы,
собирающие сведения о
поведении пользователя (посещаемые
сайты, количество
онлайновых покупок и
проч.),
программы,
отображающие рекламную
информацию.
Отдельно стоит
упомянуть так называемых
«троянцев», которые
позволяют автору
вредоносной программы
управлять компьютером
пользователя-«жертвы».
Масштабы установки
программ-шпионов не
очень легко поддаются
подсчету, и
соответствующие
сведения, как правило,
поступают от
заинтересованных в
преувеличении масштабов
угрозы производителей
программного
обеспечения по
обезвреживанию программ-шпионов.
В этой связи заслуживает
внимания опрос Союза
потребителей США,
опубликованный в
сентябре 2005 года, в ходе
которого было опрошено
3200 человек, использующих
интернет дома [13].
В соответствии с
результатами опроса,
половина пользователей
сталкивалась с
программами-шпионами на
протяжении последних
шести месяцев. Из них 18%
признались, что по этой
причине им пришлось
прибегнуть к
переформатированию
жесткого диска. По
результатам опроса,
проведенного компанией
TrendMicro, 40% американских
корпоративных
пользователей, 14%
японских и 23% немецких
сталкивались с
программами-шпионами на
рабочем месте [14].
В США увеличивается
количество
законопроектов,
направленных на борьбу с
распространением
программ-шпионов. Также
имеются случаи судебного
преследования авторов
программ-шпионов как со
стороны представителей
частного сектора, так и
со стороны Федеральной
торговой комиссии США [15].
В последнее время
широкое распространение
получила
недобросовестная
практика так называемой
«социальной инженерии»,
рассчитанной на доверие
недостаточно
осведомленных
пользователей. Особенно
актуален вид «социальной
инженерии»,
получивший название «фишинг»
(phishing) или «кардинг»
(carding). Суть его
заключается в
направлении
пользователям сообщений,
как правило, от имени
известных компаний, с
просьбой или требованием
раскрыть персональные
данные, в большинстве
случаев, номера
кредитных карт. Для
повышения эффективности
обмана «фишеры»
прибегают к созданию веб-сайтов,
имена которых имеют
сходство с именами веб-сайтов
соответствующих
компаний, а графическое
оформление попросту
копируется. По
результатам упомянутого
выше опроса Союза
потребителей США,
результативность такой
практики достаточно
высока: 6% опрошенных
отправили свои
персональные данные в
ответ на полученные от
мошенников запросы.
Несмотря на то, что
деятельность «фишеров»
является
противозаконной уже в
рамках действующего
законодательства,
эффективная борьба с
этим явлением часто
бывает затруднена. Так, в
США преследование «фишера»
может начаться только
после того, как будет
выявлен факт незаконного
доступа к персональным
данным, что происходит не
в каждом случае. Кроме
того, «фишеры»
предпринимают
дополнительные меры
защиты: средний «фишерский»
сайт доступен не более
чем в течение шести дней.
С этим связано появление
законодательных
инициатив, направленных
непосредственно на
борьбу с «фишингом»,
наиболее известной из
которых является проект
«Анти-фишерского
закона-2005», внесенный
одним из сенаторов
Конгресса в феврале 2005
года [16].
В связи с развитием
интернет-технологий
также обострилась
проблема защиты
персональных данных от
сбора, обработки и
систематизации при
помощи
автоматизированных
средств. Действительно,
принимая во внимания все
возрастающее количество
и доступность
машиночитаемой
информации, было бы
странным, если бы никто
не предпринимал усилий
по систематизации всей
представляющей интерес
информации из различных
источников.
В контексте
обращения персональных
данных в интернете эта
проблема имеет два
аспекта:
недобросовестная
политика обращения с
персональными данными со
стороны держателей
данных (прежде всего,
представителей бизнеса,
а также со стороны
государственных органов),
которым были доверены
персональные данные со
стороны граждан;
сбор,
систематизация и
распространение
персональных данных из
различных источников,
позволяющих составить
многосторонний «профиль»
соответствующего
субъекта данных: от
религиозных убеждений и
особенностей характера
до покупательских
предпочтений и сведений
об имуществе.
В мировой практике
первая часть проблемы
регулируется упомянутым
ранее законодательством
о защите персональных
данных (в американской
практике – также
традицией разумного
ожидания приватности). В
европейских странах все
лица, контролирующие
ведение баз данных,
содержащих персональные
данные, обязаны
уведомить
соответствующие
контролирующие органы.
Более либеральная
американская традиция во
многом не согласуется с
жестким европейским
подходом, что создает
некоторые сложности для
американских бизнес-структур,
заинтересованных в
ведении
транснационального
бизнеса, связанного с
обращением персональных
данных. Именно для
решения этой проблемы
была разработана
программа Safe Harbor, которая
будет рассмотрена далее.
Вторая часть
проблемы имеет более
сложный характер,
поскольку сбор
информации о
пользователях может
осуществляться разными
способами. Достаточно
показательна история с
запуском услуги Gmail,
предусматривающей
хранение личной
переписки пользователей
в течение
неограниченного времени,
а также осуществление
автоматизированного
анализа содержания писем
пользователей. В
результате
последовавших за
запуском Gmail выражений
общественного
недовольства, на уровне
некоторых штатов США
были представлены
нормативные акты,
вводящие новые правила
по обеспечению
приватности, а в штате
Массачусетс был усилен
закон о защите
приватности. Также
заслуживает внимания
инициатива компании
Microsoft по созданию единой
системы авторизации Passport.
Предполагалось, что
данные, введенные
пользователем в систему,
будут доступны всем
организациям,
заключившим с Microsoft
соглашение об
использовании Passport. Эта
инициатива вызвала волну
беспокойства как в США,
так и в Европе. В январе
2003 года Рабочая группа
Европейского союза по
защите данных по статье 29
опубликовала
рекомендации по внесению
изменений в Passport, в
которых говорилось, в
частности, о
необходимости
предоставления
пользователям
возможности
контролировать
использование своей
информации в
маркетинговых целях и
определять круг лиц,
имеющих к ней доступ [17].
Рынок по
предоставлению услуг
по профилированию существует
уже не первое
десятилетие, к подобным
предложениям часто
прибегают в
маркетинговых целях. В
США специализирующиеся
на профилировании
компании предоставляют
по сравнительно
невысоким ценам (порядка
65 долл. за 1000 имен)
обширные сведения о
гражданах, включая
контактные данные,
данные о доходе,
музыкальные
предпочтения,
религиозную
принадлежность, марку
автомобиля и проч.;
существует возможность
получения подробных
сведений о состоянии
здоровья человека. С
развитием интернет-технологий
проблема профилирования
обострилась, поскольку
появилась техническая
возможность сбора и
анализа очень обширных
сведений об онлайновом
поведении пользователей.
Каждая проблема по
защите персональных
данных связана с
конфликтом интересов как
минимум двух сторон, одна
из которых
заинтересована в
сохранении приватности,
в то время как другая –
в доступе к персональным
данным. Попытаемся
выделить основные
проблемы, актуальные в
контексте использования
интернета, и укажем на
основные
противоборствующие
интересы.
|
№
|
Наименование проблемы
|
Кто заинтересован в сохранении приватности
|
Кто заинтересован в доступе к
информации
|
|
1
|
Защита
тайны связи [18]
|
|
-
Представители
бизнеса,
заинтересованные в
получении
максимального объема
данных для повышения
эффективности
хозяйственной
деятельности.
-
Злоумышленники,
заинтересованные в
нарушении тайны связи
по соображениям
криминального или
иного характера.
|
|
1а
|
Защита
тайны связи при
выполнении служебных
обязанностей
|
|
|
|
2
|
Обеспечение
национальной
безопасности и борьба
с преступностью
|
-
Пользователи
интернета,
заинтересованные в
минимизации
государственного
контроля над частной
жизнью и коммерческой
деятельностью.
-
Лица,
использующие
интернет в
противозаконных
целях и целях,
угрожающих
национальной
безопасности.
|
|
|
3
|
Риск
утечки данных
|
|
-
Представители
нелегальных бизнес-структур,
заинтересованные в
извлечении прибыли от
распространения
полученных
незаконным путем
данных.
-
Лица,
заинтересованные в
доступе к полученным
незаконным путем
персональным данным в
коммерческих или иных
целях.
|
|
4
|
Сбор
и передача данных
посредством «программ-шпионов»
|
|
Представители
бизнеса,
заинтересованные в
сборе информации о
пользователях
интернета для
принятия
коммерческих решений.
Злоумышленники,
заинтересованные в
несанкционированном
доступе к различным
видам персональной
информации
пользователей по
соображениям
криминального или
иного характера.
|
|
5
|
Сбор
и систематизация
персональных данных
«из открытых
источников», «профилирование»
|
-
Пользователи
интернета,
заинтересованные в
ограничении сбора и
систематизации своей
персональной
информации,
опубликованной в
различных источниках.
-
Злоумышленники,
заинтересованные в
сокрытии преступных
намерений от силовых
структур.
|
-
Представители
бизнеса,
заинтересованные в
получении подробной и
систематизированной
информации о
пользователях
интернета с целью
принятия
коммерческих решений.
-
Представители
силовых структур,
заинтересованные в
получении подробной и
систематизированной
информации о
подозреваемых и
потенциальных
преступниках.
-
Злоумышленники,
заинтересованные в
получении подробной и
систематизированной
информации об
отдельных
пользователях
интернета.
|
[18]
Здесь речь идет
только о случаях
защиты тайны связи, не
связанных с
обеспечением
государственной
безопасности: они
выделены в отдельную
проблему.
В каждом из
представленных случаев
сталкиваются интересы
как минимум двух сторон.
При этом в большинстве
случаев явное
преимущество
наблюдается со стороны,
заинтересованной в
ограничении тайны
информации: силовые
структуры и
представители бизнеса,
как правило, обладают
более широкими
возможностями по
обеспечению своих
интересов, и это особенно
справедливо в российских
условиях. Очевидно, что
реальный баланс
интересов будет соблюден
лишь в том случае, когда
будут созданы
действенные механизмы
защиты прав более
уязвимой стороны –
заинтересованных в
сохранении приватности
граждан.
Следует отметить,
что обозначенные выше
стороны, обладающие
противоположными
интересами, не полностью
совпадают с основными
«действующими лицами»,
непосредственно
влияющими на процесс
нормативного
регулирования отношений,
связанных с приватностью
и защитой персональных
данных. Например,
Министерство
информатизации и связи
Российской Федерации в
своих нормативных
инициативах и в
публичных заявлениях
официальных лиц
достаточно
последовательно
отстаивает интересы
силовых структур, в то
время как последние не
вовлечены
непосредственно в
законодательный процесс.
С другой стороны,
представители
правозащитных
организаций, несмотря на
то, что существующие
нормативные инициативы
несут лично для них те же
выгоды и опасности, что и
для других граждан, имеют
более оформленную и
консолидированную
позицию, и поэтому могут
рассматриваться как
отдельная сторона. Таким
образом, мы считаем
необходимым указать
следующие стороны,
активно влияющие на
развитие событий в
области защиты
персональных данных и
обеспечения приватности:
Правительство
Российской Федерации,
заинтересованное в
оптимизации и
модернизации
законодательства;
правозащитники,
усматривающие в
отдельных
законодательных
инициативах и действиях
правительства угрозу
правам человека (главным
образом, праву на
неприкосновенность
частной жизни);
религиозные
организации, выражающие
протест против создания
«электронного
концлагеря»;
обладающие «более,
чем средней» степенью
правосознания граждане,
сетевые активисты.
Остановимся чуть
подробнее на
характеристиках каждой
из сторон.
В контексте вопроса
о защите персональных
данных Правительство Российской Федерации
представлено, главным
образом, Министерством
информатизации и связи,
осуществляющим, в целом,
достаточно
последовательную
политику в области
законодательного
регулирования обращения
персональных данных. На
наш взгляд, основные
характерные черты этой
политики можно свести к
следующим:
необходимость
обновления и дополнения
устаревшего
законодательства;
прекращение
правового «беспредела»
в области обращения
персональных данных [19];
повышение
эффективности ИКТ-систем
государства;
усиление
государственного
контроля за
использованием
гражданами
телекоммуникационных
технологий, повышение
полномочий органов
государственной власти и
силовых структур в
отношении сбора и
обработки персональных
данных граждан.
Последняя
мотивационная установка
не упоминается в
официальных заявлениях
представителей
Мининформсвязи, но ее
наличие вполне очевидно,
если наблюдать за
динамикой нормативных
инициатив Министерства (см.
обзор инициатив в
области «удержания
данных», приведенный
ниже). Характерно, что
Министерство зачастую
отстаивает не только
свои собственные
интересы, но и интересы
других органов
исполнительной власти, в
частности, силовых
структур, не обладающих
соответствующими
возможностями в области
продвижения законов и
подзаконных актов.
Правозащитники
не
представляют единой
организации, поэтому в их
среде существуют
различные взгляды на
проблему защиты
персональных данных и
выдвигаются различные
подходы к ее решению. Тем
не менее, в ряде вопросов
правозащитники имеют
общие позиции. Их
объединяет общая
обеспокоенность
существующими
тенденциями
законодательного
регулирования обращения
персональных данных (при
этом указывается, во-первых,
на меньшую
проработанность
соответствующих
нормативных инициатив по
сравнению с европейским
уровнем, а также их
несоответствие
интересам российских
граждан [20]),
отсутствием выраженной
готовности органов
государственной власти к
диалогу, низким уровнем
правосознания
российских граждан.
Возможно,
наибольшую сложность
представляет оценка
позиции представителей
религиозных организаций.
Это связано с
несколькими причинами.
Во-первых, члены
религиозных организаций
могут иметь различные
позиции в отношении
рассматриваемого
вопроса. Мнения
официальных лиц
Московской патриархии
могут отличаться от
мнений активистов из
числа верующих,
создающих, пожалуй,
наибольший резонанс как
в среде верующих, так и в
обществе в целом [21].
Во-вторых, аргументация
отдельных
представителей
религиозных организаций
может иметь
неконструктивный
характер [22],
по причине чего верующих
иногда представляют как
сторону, принципиально
не способную к ведению
диалога. Это очень
опасное упрощение: ряд
аргументов
представителей
религиозных организаций
по сути совпадает с
аргументами
правозащитников [23].
На наш взгляд, отказ от
ведения диалога с
представителями этой
группы российских
граждан может
подтолкнуть их к
дальнейшей
маргинализации и
радикализации, что может,
в свою очередь, привести
к существенной
дестабилизации общества.
Наконец, граждане,
обеспокоенные угрозой
нарушения их права на
приватность и
неприкосновенность
персональных данных,
также не являются
консолидированной
стороной. Они обладают
различным уровнем
компетенции в данном
вопросе и участвуют в
развитии
законодательного
процесса с большей или
меньшей степенью
непостоянства. Тем не
менее, представители
этой группы играют,
возможно, наиболее
значительную роль в
осведомлении интернет-общественности
в отношении проблемы
обеспечения приватности
путем распространения
соответствующих
публикаций на
персональных сайтах и в
специализированных
изданиях.
На наш взгляд,
общественное обсуждение
с привлечением наиболее
широкого круга
представителей
заинтересованных сторон
может оказаться наиболее
эффективным методом
решения проблемы
обеспечения приватности.
К сожалению, в России
необходимые условия для
такого обсуждения
складываются не всегда,
но тем не менее, подобные
обсуждения имели место и
оказали существенное
влияние на текущее
положение вещей.
Мы имеем в виду,
главным образом,
дискуссию,
развернувшуюся вокруг
так называемой системы
СОРМ (системы оперативно-розыскных
мероприятий),
протекавшую в 1998-2000 гг. [24]
Отправной точкой
дискуссии была
инициатива российских
силовых структур по
обеспечению возможности
де-факто бесконтрольного
доступа к
телекоммуникационным
данным абонентов
интернет-операторов.
Среди наиболее
существенных
результатов
состоявшейся дискуссии
следует назвать:
определение
заинтересованных лиц и
обмен актуальной
информацией;
совместная
разработка проектов
изменений в нормативные
акты;
совместная защита
лиц, законные интересы
которых были нарушены [25];
успешное
взаимодействие с прессой
в ходе освещения текущих
событий и отражения хода
обсуждения и,
соответственно,
привлечение внимания
широкой общественности к
обсуждаемой проблеме.
Следует
подчеркнуть, что
материалы раздела сайта
«Московский
либертариум» по
проблематике СОРМ не
утратили своей
актуальности и по сей
день.
Наибольший
общественный резонанс на
текущий момент имеет
прошедший первое чтение
в Государственной думе
проект Федерального
закона «О
персональных данных».
Данный законопроект
затрагивает все сферы
обращения персональных
данных, включая интернет.
Основная критика
законопроекта сводится к
следующему:
вопреки мировой
практике и Директиве ЕС,
во исполнение которой
составлен данный
законопроект, в нем не
предусматривается
создание независимого
контролирующего органа
по защите персональных
данных;
понятийный аппарат
законопроекта
проработан в
недостаточной мере; по
замечанию одного из
критиков законопроекта [26],
для того, чтобы можно
было одновременно
исполнить нормы данного
законопроекта и
Конституции, необходимо
воздержаться от
обработки персональных
данных как таковой;
наконец,
законопроект
предусматривает
введение так называемых
идентификаторов
персональных данных и
национального регистра
населения.
Представляется, что
критика законопроекта в
целом имеет
конструктивный характер,
и устранение указанных
недостатков в ходе
взаимодействия всех
заинтересованных сторон
будет способствовать
разрешению существующих
противоречий и принятию
в итоге более
действенного закона.
На наш взгляд, в
краткосрочной
перспективе на жизнь
российских граждан,
пользующихся интернетом,
повлияет не столько
готовящийся Федеральный
закон, сколько ряд
подзаконных актов,
вызвавших существенно
меньший общественный
резонанс [27].
Так называемое «удержание
данных» (data retention)
является одной из
наиболее горячо
обсуждаемых проблем в
общемировом масштабе, в
России же данная
проблема имеет свои
специфические черты:
соответствующие
механизмы внедряются не
на законодательном, а на
подзаконном уровне, в
условиях довольно
слабого общественного
освещения. В
Постановлении
Правительства №538 от 27
августа 2005 года
закрепляются правила
взаимодействия
операторов связи с
уполномоченными
государственными
органами,
осуществляющими
оперативно-разыскную
деятельность. В
частности, в
соответствии с этим
документом операторы
связи обязываются
хранить в течение трех
лет персональную
информацию о гражданах
следующего состава: «фамилия,
имя, отчество, место
жительства и реквизиты
основного документа,
удостоверяющего
личность, представленные
при личном предъявлении
абонентом указанного
документа, - для абонента-гражданина;
наименование (фирменное
наименование)
юридического лица, его
место нахождения, а также
список лиц, использующих
оконечное оборудование
юридического лица,
заверенный
уполномоченным
представителем
юридического лица, в
котором указаны их
фамилии, имена, отчества,
места жительства и
реквизиты основного
документа,
удостоверяющего
личность, - для абонента -
юридического лица;
сведения баз данных о
расчетах за оказанные
услуги связи, в том числе
о соединениях, трафике и
платежах абонентов
предоставлять ее в
режиме круглосуточного
доступа органам ФСД или
МВД» [28].
Представляется, что
данное положение
Постановления прямо
противоречит стт. 23 и 24
Конституции Российской
Федерации:
«Каждый имеет
право на
неприкосновенность
частной жизни, личную и
семейную тайну, защиту
своей чести и доброго
имени».
«Каждый имеет
право на тайну переписки,
телефонных переговоров,
почтовых, телеграфных и
иных сообщений.
Ограничение этого права
допускается только на
основании судебного
решения».
«Сбор, хранение,
использование и
распространение
информации о частной
жизни лица без его
согласия не допускаются».
Кроме того,
рассматриваемое
постановление
противоречит ряду
Федеральных законов,
содержащих нормы,
соответствующие
указанным
конституционным
гарантиям.
Чуть большее
общественное внимание
привлекло Постановление
Правительства от 23
января 2006 года N 32 Об
утверждении Правил
оказания услуг связи по
передаче данных. В
соответствии с данным
постановлением
операторы связи
обязуются с 1 июля 2006 года
требовать от абонентов
при заключении
контрактов на
предоставление услуг
связи предъявления
документов,
удостоверяющих личность,
а также собирать и
хранить определенный
набор персональных
данных. Противоречивость
формулировок данного
нормативного акта [29]
и не менее
противоречивые
комментарии
представителей
Министерства
информатизации и связи [30]
делают проблему в еще
большей степени
запутанной.
Один из наиболее
животрепещущих вопросов
в теме обеспечения
приватности и защиты
персональных данных в
интернете –
отсутствие целостной положительной
программы, в которой бы
были изложены шаги в
направлении
последовательного
примирения интересов
различных сторон. Это
объясняется рядом причин.
Во-первых, конфликт
закрепленных в стт. 23 и 24
Конституции гарантий и
права на свободный
доступ к информации (ст. 29
Конституции) обретает в
контексте использования
современных интернет-технологий
особую остроту: сбор и
систематизация
информации, в том числе о
личной жизни граждан,
сегодня стали просты, как
никогда ранее. Угрозу для
сохранения тайны частной
жизни стали представлять
те сведения, которые
ранее имели вполне «безобидный»
характер. Например,
усилия, необходимые для
того, чтобы соотнести
запись, оставленную в
книге отзывов
провинциального музея, с
личностью посетителя,
столь велики, что сводят
риск нарушения тайны
частной жизни к минимуму;
в то же время, запись,
оставленная в гостевой
книге виртуального музея,
в совокупности с
аналогичными сведениями,
собранными с других
сайтов, позволяет
составить очень
подробную картину
личности.
Вторая
существенная проблема
заключается в отсутствии
действенных механизмов
согласования интересов
сторон в контексте
обеспечения приватности
и защиты персональных
данных. К сожалению, опыт
обсуждения СОРМ на сайте
«Московский
либертариум» по-прежнему
остается уникальным в
истории российского
интернета, а без
аналогичных проектов
конструктивный диалог и
разработка обоснованной
аргументации и
положительных
предложений крайне
затруднены или вовсе
невозможны.
На наш взгляд,
обсуждение вопроса
регулирования
персональных данных в
интернете требует
четкого формулирования
основных принципов, в
соответствии с которыми
это регулирование будет
осуществляться. Несмотря
на то, что многие из этих
принципов кажутся
очевидными, анализ
современных
законодательных
тенденций, а также анализ
позиций «действующих
лиц» показывает, что
зачастую они не
принимаются во внимание.
Принцип
законности.
При проведении
регулирования отношения,
связанных с обращением
персональных данных в
интернете, необходимо
обеспечить
конституционность и
согласованность
нормативных актов.
Принцип
приоритета защиты
граждан как стороны,
обладающей наименьшими
возможностями по защите
своих персональных
данных при
взаимодействии с
бизнесом и государством.
Поскольку в вопросе
защиты персональных
данных в интернете
интересам граждан
противостоят интересы
государства и бизнеса,
обладающих большими
возможностями по
отстаиванию своих
интересов, реальный
баланс будет соблюден
лишь в том случае, когда
государством будут
предоставлены
исполнимые гарантии
защиты персональной
информации граждан.
Принцип поддержки
механизмов
саморегулирования и
рыночных механизмов.
Развитие интернета
не требует активного
вмешательства со стороны
государства, большинство
ключевых вопросов
развития Сети решаются в
порядке
саморегулирования. При
проведении
регулирования обращения
персональных данных в
интернете необходимо
оценивать положительные
и отрицательные
последствия, неизбежно
следующие за любым
нормативным
урегулированием. При
этом государство может
способствовать
формированию и развитию
добросовестных обычаев
обращения с
персональными данными.
Принцип
минимизации препятствий
добросовестной
коммерческой
деятельности.
При введении новых
норм, связанных с
обращением персональных
данных, важно оценивать
их влияние на
деятельность лиц,
ведущих добросовестную
коммерческую
деятельность, в том числе
на поставщиков интернет-услуг
и владельцев веб-сайтов.
Необходимо сопоставлять
выгоды, приобретаемые из
регулирования, с
негативными
последствиями, прежде
всего, экономического
характера.
Гармонизация
гарантий защиты
персональных данных с
международными нормами.
Одной из главных
движущих сил принятия
законов о приватности в
различных странах мира
было стремление к
созданию необходимой
правовой инфраструктуры
для организаций (прежде
всего, частными),
хозяйственная
деятельность которых
связана с
транснациональной
обработкой персональных
данных. Поскольку одним
из основных принципов
мирового
законодательства по
обеспечению защиты
персональных данных
является недопущение
снижения уровня их
защиты при
транснациональной
обработке, Россия сможет
полноценно участвовать в
международном
информационном обмене,
связанном с
персональными данными,
только после того, как
уровень их защиты будет
доведен до европейского
уровня.
[1]
Любопытно, что
такое явление как спам,
по-видимому, нарушает
приватность, как она
раскрыта в первых двух
определениях. В то же
время, с «персональными
данными» спам
непосредственно не
связан (электронные
адреса могут быть
получены и легальными
способами).
[2]
Robert Ellis Smith, Ben Franklin's
Web Site 6 (Sheridan Books 2000).
[3]
Privacy and the Limits of Law, 89
Yale Law Journal 421, 428 (1980).
[4]
Report of the Committee on Privacy
and Related Matters, Chairman David
Calcutt QC, 1990, Cmnd. 1102, London: HMSO,
at 7.
[5]
Цит. по тому же
источнику. Электронная
версия доступна по
адресу: <http://www.gdf.ru/books/books/defence/005.shtml>.
Исходный текст можно
получить по адресу: <http://europa.eu.int/comm/justice_home/fsj/privacy/law/index_en.htm>.
Здесь и далее веб-ссылки
приведены по состоянию
на 10.05.2006.
[7]
Текст Директивы и
других европейских
нормативных актов,
связанных с защитой
персональных данных,
можно получить по
адресу: <http://europa.eu.int/comm/justice_home/fsj/privacy/law/index_en.htm>.
[8]
Последнее
обстоятельное
исследование мировой
ситуации по этому
вопросу было проведено
американской
организацией
Electronic Privacy Information
Center в 1999 году: <>.
[9]
Nikon v. Onof, Decision No. 4164,
October 2, 2001 (99-42.942).
[17]
Working Document on on-line
authentication services: <http://europa.eu.int/comm/justice_home/fsj/privacy/docs/wpdocs/2003/wp68_en.pdf>
[18]
Здесь речь идет
только о случаях
защиты тайны связи, не
связанных с
обеспечением
государственной
безопасности: они
выделены в отдельную
проблему.
[22]
Несложно понять
скепсис российского
чиновника в отношении
аргументации людей,
рассматривающих его
как агента «мирового
правительства».
[27]
Cоответствующие
правительственные
инициативы получили
довольно слабое
освещение даже на
специализированных
ресурсах, таких как
специализированный
упомянутый выше веб-портал
«Приватность».
|
