Заключение на проект федерального закона N 217352-4 "О персональных данных" (не действует)

Заключение Комитета Государственной Думы Федерального Собрания РФ
по безопасности от 20 октября 2005 г. N 53/7
на проект федерального закона N 217355-4 "О персональных данных", внесенный Правительством Российской Федерации

Актуальность законодательного регулирования общественных отношений, связанных с оборотом персональных данных, обусловлена необходимостью реализации положений Конституции Российской Федерации, закрепляющих права на неприкосновенность частной жизни, охрану личной и семейной тайны, запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия. Вместе с тем, формирование соответствующего законодательства вытекает из обязательств Российской Федерации по ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. Наконец, повсеместное нарушение прав физических лиц в отношении их персональных данных путем незаконного распространения сведений, содержащихся в информационных системах органов государственной власти и негосударственных организаций, побуждает к созданию эффективных механизмов правовой защиты этих прав.

В целом концепция законопроекта реализует положения Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (далее - Конвенция). Вместе с тем, после принятия указанной Конвенции в европейских странах сложилась практика законодательного регулирования обращения персональных данных, основанная на реализации директив ЕС (1995 и 2002  гг.), закрепляющих и усиливающих принципы, содержащиеся в Конвенции, и Дополнительного протокола к Конвенции. Анализ этой практики, положений Конвенции и указанных документов ЕС позволяет сделать следующие выводы.

1. Содержание используемых в проекте основных понятий не вполне соответствует положениям Конвенции. Так, термин "обработка персональных данных" не включает такие операции как сбор персональных данных и их распространение (п. 2 ч. 1 ст. 1), в то время как Конвенция использует понятие "автоматизированная обработка" (п. "с" ст. 2), которое включает, наряду с другими, поиск или распространение персональных данных. Из этого следует, что принципы обработки персональных данных, определенные Конвенцией в главе II, распространяются на все действия с персональными данными, в то время как законопроект определяет только принципы и условия сбора и обработки персональных данных (ст. 5 и 6).

Конвенция также оперирует понятием "автоматизированный файл" (любой комплекс данных, подвергающихся автоматизированной обработке). Наиболее близким аналогом этого термина в российском законодательстве является понятие "база данных", которое в Законе Российской Федерации "О правовой охране программ для ЭВМ и баз данных" определяется как "объективная форма представления и организации совокупности данных (например: статей, расчетов), систематизированных таким образом, чтобы эти данные могли быть найдены и обработаны с помощью ЭВМ". Законопроект, в свою очередь, оперирует понятием "информационная система персональных данных", то есть информационная система, в которой осуществляется обработка персональных данных. При этом, информационная система, в соответствии с законодательством об информации, информационных технологиях и защите информации, представляет собой совокупность баз данных и средств, обеспечивающих поиск, хранение, обработку, предоставление или распространение информации. Как следствие, законопроект предъявляет излишние требования к информационным системам, которые, наряду с базами персональных данных, включают и базы, содержащие другие данные, в том числе: требования к регистрации таких систем (ст. 16), требования к процедурам хранения, обмена и защиты данных в информационных системах (ст. 17) и иные условия.

Понятие "конфиденциальность информации" используется в рассматриваемом проекте в значении, определенном проектом федерального закона "Об информации, информационных технологиях и защите информации", где оно означает любое ограничение доступа к информации. Действующее законодательство выделяет в информации ограниченного доступа конфиденциальную информацию и информацию, составляющую государственную тайну (секретную). Также и Конвенции в ч. 3 ст. 15 устанавливает обязанность лица, причастного к обработке персональных данных, "сохранять секретность или конфиденциальность этой информации".

2. Сфера действия Федерального закона ограничена сбором и обработкой персональных данных (ч. 1 ст. 3), то есть не включает их распространение, хотя чаше всего права субъектов нарушаются в процессе незаконного сбора данных и незаконного их распространения. Термин "распространение" определен в ст. 1, но больше в проекте, практически не используется, следовательно проект не устанавливает требования к операторам информационных систем персональных данных в части распространения этих данных. Помимо сбора, обработки и распространения персональных данных проект оперирует понятием "использование персональных данных", не определяя его содержание (п. 2 ч. 2 ст. 3).

3. В проекте неоднозначно определены субъекты правоотношений, их права и обязанности. В частности, согласно п. 5 ст. 1 оператор информационной системы персональных данных осуществляет работу с этой информационной системой на законных основаниях и определяет цели, содержание и применение результатов обработки. В данном определении не содержатся характерные признаки, отличающие оператора от других лиц, имеющих законный доступ к подобной системе и работающих с персональными данными. Вместе с тем, проект устанавливает, что обработка персональных данных должна осуществляться "собственником информационной системы" (ч. 2 ст. 6) или оператором, которому обработка поручена собственником, причем на условиях, "которые настоящим Федеральным законом установлены для собственника информационной системы". Однако проект устанавливает обязанности только для оператора (глава 4). Необходимо отметить, что Конвенция определяет "контролера файлов" как орган, который вправе решать какова должна быть цель обработки персональных данных, как они должны хранится и какие над ними должны производиться операции (п. "d" ст. 2), то есть характерные признаки этих субъектов, установленные Конвенцией, и предложенные проектом, различаются.

4. Принципы обработки персональных данных (ст. 5) требуют уточнения. Так, положение ч. 2 допускает обработку персональных данных для статистических, научных "и иных аналогичных целей". В то же время, в соответствии с п. 4 ч. 1 ст. 6 обработка статистических данных должна осуществляться при условии их обезличивания, а в соответствии с ч. 2 ст. 15 обезличиваться должны данные, получаемые при проведении "научных... и иных исследований". Это требование не основано на положениях Конвенции и Директивы 95/46/ЕС о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных (далее - Директивы 95/46/ЕС). Последняя указывает на необходимость гарантий в отношении персональных данных, собираемых для указанных целей, но делает исключение для обработки персональных данных, осуществляемой исключительно в целях журналистики или в целях художественного или литературного творчества, в противном случае под запрет попадает вся историческая литература.

Целесообразно дополнить принципы обработки персональных данных положением о запрете объединения массивов персональных данных, собранных для несовместимых между собой целей, что было бы дополнительной гарантией защиты прав субъекта персональных данных. Исключение из такого запрета может быть сделано только в целях, определенных ч. 3 ст. 55 Конституции Российской Федерации.

5. Условия обработки персональных данных, определенные ч. 1 ст. 6, исключают возможность сбора и обработки персональных данных в случаях, если такая обработка не предусмотрена законом. Данное условие представляется неоправданно жестким, поскольку любое лицо вправе собирать и обрабатывать персональные данные, доверенные ему субъектом персональных данных, даже если это прямо не предусмотрено законом. Директива 95/46/ЕС однозначно указывает на право контролера (оператора) самостоятельно определять цели и средства обработки персональных данных (п. "d" ст. 2). Вместе с тем, целесообразно дополнить цели обработки персональных данных случаями, когда обработка необходима для исполнения контракта, в котором субъект данных является стороной или для принятия мер до заключения контракта по просьбе субъекта данных; когда обработка необходима для выполнения юридического обязательства, субъектом которого является оператор; или когда обработка необходима для достижения общественно значимых целей или ее осуществление возложено на оператора или третью сторону, которой персональные данные раскрыты законом в рамках властных полномочий.

6. Концептуальным положением законопроекта является обязательное письменное согласие субъекта персональных данных на передачу их оператором третьим лицам (ч. 2 ст. 8, ч. 1 ст. 10, ч. 4 ст. 11), при этом ясно, является ли "передача третьим лицам" формой распространения персональных данных и требуется ли согласие субъекта при их распространении. Представляется, что данное условие избыточно и не технологично либо в проекте необходимо определить, что считается письменным согласием субъекта, учитывая, что обмен данными и доступ к ним может осуществляться с использованием электронных средств передачи информации.

7. Законопроект выделяет особые категории персональных данных (ст. 9), в том числе судимость, и устанавливает запрет на их обработку. По видимому, для сведений о судимости должен быть установлен особый порядок их обработки, но запрет вряд ли оправдан, поскольку судебное решение в соответствии с законодательством объявляется публично за некоторыми исключениями (ч. 8 ст. 10 ГПК РФ, ч. 8 ст. 11 АПК РФ, ч. 7 ст. 242 УПК РФ). Кстати акты ЕС, принятые в развитие Конвенции, не связывают однозначно судимость с особыми категориями персональных данных (п. 5 ст. 8 Директивы 95/46/ЕС).

8. Регистрация информационных систем персональных данных, предусмотренная законопроектом, призвана усилить систему защиты персональных данных, поскольку в условиях такой регистрации источник незаконного распространения персональных данных будет быстрее идентифицирован. Уведомительный характер регистрации соответствует опыту стран, имеющих законодательство о защите персональных данных. Вместе с тем, исключения из порядка регистрации создают условия для нарушения прав субъекта на защиту персональных данных. В соответствии с положениями ч. 3 статьи 55 Конституции РФ подобные исключения могут быть установлены только законом. Наделение Правительства РФ указанным правом представляется не корректным.

Положения ст. 18 об упрошенном порядке регистрации для систем, в которых используются сертифицированные шифровальные средства, будут содействовать развитию рынка таких средств, но не очевидно, что они будут способствовать обеспечению конституционных прав человека и гражданина, поскольку для субъекта персональных данных важно не только как защищаются собранные данные, но и для чего они собираются, как используются или распространяются. Кроме того, упрошенный порядок должен быть, по нашему мнению, определен непосредственно в законе.

Необходимо отметить, что органы государственной власти являются наиболее крупными хранителями и потребителями персональных данных, поэтому в законопроекте целесообразно установить для них более жесткие требования по защите персональных данных (включая требования к стандартам, процедурам обмена, хранения, защиты персональных данных и иные условия, которым должны отвечать информационные системы персональных данных и лица, участвующие в обработке персональных данных), прямо указать, что ответственность за организацию системы защиты возлагается на их руководителей.

9. Принципиальным элементом концепции законопроекта является механизм контроля за обработкой персональных данных. Проект предлагает поручить Правительству РФ определить уполномоченный орган (ч. 1 ст. 21), следовательно таким органом может быть только один из органов исполнительной власти, который помимо функций контроля за органами исполнительной, законодательной и судебной системы, будет иметь также право самостоятельно обрабатывать персональные данные. Эта ситуация представляется парадоксальной и противоречащей как конституционному принципу разделения властей, так и законодательной практике большинства стран, ратифицировавших Конвенцию. Дополнительный протокол к Конвенции недвусмысленно определяет статус контролирующего органа, как органа независимого (как правило, эти функции выполняют омбудсмены). Пункт 3 ст. 1 Дополнительного протокола гласит: "Наблюдательные органы осуществляют свои функции абсолютно независимо."

Неправомерно сужены обязанности указанного органа (ч. 2 ст. 21) в части рассмотрения запросов субъектов персональных данных и права органа в части контроля за распространением персональных данных (п. 4 ч. 3 ст. 21).

10. Вызывает сомнения целесообразность включения в проект статьи 24, касающейся государственного регистра населения Российской Федерации. Принципы и порядок создание и использование такой глобальной базы персональных данных должны регулироваться отдельным федеральным законом. Правительство РФ планировало разработку такого закона в целях "повышения уровня социальной защиты населения и усиления ее адресности" и введения "единого персонифицированного учета социального страхования граждан" (распоряжение Правительства РФ от 14.04.1999 г. N 583-р). Определенная проектом цель создания государственного регистра населения существенно шире - для "обеспечения непротиворечивости содержащихся в информационных системах персональных данных" (ч. 1 ст. 24).

Необходимо также учитывать, что создание государственного регистра населения нарушает информационную приватность личности, делает ее прозрачной перед любым лицом, имеющим доступ к такому регистру, создает условия для нарушения фундаментальных прав и свобод физических лиц, в том числе права на неприкосновенность частной жизни, что противоречит духу Конвенции.

В целом представленный в законопроекте механизм защиты персональных данных требует совершенствования и конкретизации с учетом опыта других страх, которые при разработке национальных законов опирались на положения документов ЕС, развивающих, детализирующих в уточняющих положения Конвенции.

По проекту федерального закона имеются также замечания частного характера.

Учитывая вышесказанное, Комитет по безопасности поддерживает концепцию законопроекта при условии его серьезной доработки в процессе подготовки ко второму чтению с учетом высказанных замечаний и предложений.

Председатель Комитета

В.А. Васильев