Текст книги "Персональные данные в государственных информационных ресурсах"

Михаил Брауде-Золотарев, Евгения Сербина, Виталий Негородов, Иван Волошкин
Персональные данные в государственных информационных ресурсах

© ФГБОУ ВО «Российская академия народного хозяйства и государственной службы при Президенте Российской Федерации», 2016

Обозначения, определения и сокращения

Базовый регистр – Базовый регистр информации, необходимой для предоставления государственных услуг в городе Москве, созданный Распоряжением Правительства Москвы № 376-РП.

ГРН – Государственный регистр населения.

Директива 95/46/ЕС – Директива 95/46/ЕС от 24 октября 1995 г. «О защите физических лиц в отношении обработки персональных данных и о свободном движении таких данных».

ЕС – Европейский союз.

ЖКХ – Жилищно-коммунальное хозяйство.

Закон о персональных данных, Федеральный закон № 152-ФЗ – Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

Конфиденциальность – недопустимость распространения персональных данных операторами их обработки без согласия их носителя.

«Конвенция о защите персональных данных» – Конвенция Совета Европы о защите физических лиц в отношении автоматизированной обработки данных личного характера от 1981 г. № 108.

Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

РФ – Российская Федерация.

ОГИР ЗАГС-ПВС-ЖКХ – система объединенных государственных информационных ресурсов ЗАГС, паспортно-визовых служб и паспортных столов жилищно-эксплуатационных контор.

Трансграничная передача персональных данных – передача персональных данных оператором через государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства.

Федеральный закон № 24-ФЗ – Федеральный закон от 20 февраля 1995 г. № 24-ФЗ «Об информации, информатизации и защите информации».

Федеральный закон № 149-ФЗ – Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

Федеральный закон № 210-ФЗ – Федеральный закон от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг».

Федеральный закон № 242 – Федеральный закон № 242 от 21 июля 2014 года «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».

ФСБ – Федеральная служба безопасности.

ФСТЭК – Федеральная служба по техническому и экспортному контролю.

NIST – National Institute of Standards and Technology.

SSN – Social Security number.

USB – Universal Serial Bus.

1. Анализ действующего правового регулирования персональных данных в Российской Федерации и других странах

Основной российский закон в области защиты персональных данных – Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» – был принят достаточно давно, и практика его применения выявила ряд недостатков.

Во-первых, закон содержит ряд крайне сложных в реализации требований, что создает необоснованные барьеры в работе операторов персональных данных и толкает их на нарушения закона. В то же время для граждан избыточное регулирование закона в большей степени порождает неудобства, нежели действительно обеспечивает безопасность их персональных данных.

Во-вторых, часть положений закона в настоящее время устарели или потеряли актуальность, а некоторые появившиеся за 8 лет аспекты работы с персональными данными он не регулирует вовсе, в частности Федеральный закон № 152-ФЗ «О персональных данных» не учитывает современного уровня развития интернета и замедляет развитие электронной коммерции и облачных сервисов в Российской Федерации.

1.1. Общие недостатки Федерального закона № 152-ФЗ

Одним из основных теоретических недостатков ФЗ «О персональных данных» является то, что он не называет четких критериев отнесения тех или иных сведений к категории персональных данных, а также не определяет механизмов их соотношения с иными видами информации ограниченного доступа, вследствие чего зачастую одни и те же данные могут быть отнесены к различным видам информации ограниченного доступа. Например, в режиме коммерческой тайны могут охраняться персональные данные контрагентов; в режиме профессиональной тайны охраняется информация персонального характера, характеризующая пользователей предоставляемых услуг (врачебная, нотариальная, адвокатская, банковская тайны и т. п.). При этом режимы охраны различных видов информации ограниченного доступа предполагают отличные друг от друга сроки сохранения конфиденциальности соответствующей информации, дополнительные гарантии прав субъекта, а также виды ответственности за их нарушение. Возможность составления закрытых перечней данных, относимых исключительно к тому или иному виду информации ограниченного доступа, является достаточно спорной. Однако минимизация разницы между степенью уязвимости прав субъекта соответствующих сведений, безусловно, остается необходимой. По нашему мнению, указанная проблема может быть решена путем реализации субъектом соответствующей информации своего права на установление режима, предусмотренного ФЗ «О персональных данных», в соответствии с которым будет установлен ограниченный доступ к ней со стороны третьих лиц, а также наложен ряд обязанностей на оператора, производящего ее обработку. Так, установление режима коммерческой тайны в отношении какой-либо информации (например, данных авторов изобретений, используемых предпринимателем для извлечения прибыли и, соответственно, представляющих для него коммерческую ценность) не исключает возможность получения правообладателем письменного разрешения указанных субъектов на обработку их персональных данных. Более того, в случае неправомерных действий в отношении персональных данных со стороны оператора (в данном случае правообладателя) они могут быть обжалованы субъектом в уполномоченный орган по защите прав субъектов персональных данных или в суд без нарушения установленного режима коммерческой тайны. Это возможно в силу ст. 6 Федерального закона от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне», предусматривающей обязанность правообладателя предоставлять соответствующую информацию органам государственной власти, иным государственным органам, а также органам местного самоуправления по их мотивированному требованию.

Остается открытым вопрос относительно статуса изображения гражданина – правомерно ли относить его к персональной информации, ведь именно изображение служит зачастую одним из основных идентификаторов личности. Так, например, по изображению человека можно получить информацию о его биометрических данных, национальности, религиозной принадлежности и др. В настоящее время статус изображения человека как объекта правовой охраны определяется в гражданско-правовом порядке (ст. 152.1 Гражданского кодекса РФ) и существенно отличается от принципов охраны персональных данных граждан, установленных Федеральным законом «О персональных данных». Оптимальным в данном случае было бы обращение к положениям Директивы 95/46/ЕС Европейского парламента и Совета Европейского союза от 24 октября 1995 г. «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных», рассматривающей видеоданные как персональные данные.

Существует немало противоречий между Федеральным законом № 152-ФЗ и другими нормативно-правовыми актами, регулирующими смежные с защитой персональных данных сферы, в том числе с актами международного уровня.

1.2. Противоречия между Федеральным законом № 152-ФЗ и нормами международного права

В отличие от Конвенции «О защите физических лиц при автоматизированной обработке персональных данных» 1981 г. и Директивы 95/46/ЕС, в Законе о персональных данных отсутствует ряд важных положений, касающихся защиты персональных данных.

Закон о персональных данных не относит к персональным данным с особым режимом защиты данные, относящиеся к административным правонарушениям, уголовным судимостям или мерам безопасности, национальному идентификационному номеру или другому общепринятому идентификатору, более того, идентификатор сведений о физическом лице вовсе не признается персональными данными. Закон о персональных данных не регулирует статус и режим обработки идентификатора сведений о физическом лице.

Директива 95/46/ЕС, в отличие от Закона о персональных данных, устанавливает требование к результату (например, критерии оптимального уровня защиты), который должен быть достигнут в результате принятия оператором персональных данных надлежащих мер по защите персональных данных.

Закон о персональных данных не устанавливает однозначных требований для всех операторов, направленных на обеспечение защиты персональных данных, для случаев, когда уведомление Роскомнадзора об обработке персональных данных не требуется.

В отличие от Директивы 95/46/ЕС и законодательств некоторых стран – членов ЕС, Закон о персональных данных не предусматривает проведение уполномоченным органом в области защиты персональных данных предварительных проверок в отношении случаев обработки персональных данных, создающих конкретные риски для прав и свобод субъектов данных.

В качестве примера можно рассмотреть распоряжение Правительства Москвы от 12 мая 2011 г. № 376-РП, которым утверждено положение о Базовом регистре информации, необходимой для предоставления государственных услуг в городе Москве (далее – Базовый регистр). Данный регистр содержит большой объем сведений о жителях Москвы, являющихся персональными данными. Обработка персональных данных посредством их включения в Базовый регистр и обработки нарушает следующие положения Конвенции «О защите физических лиц при автоматизированной обработке персональных данных» ETS № 108:

– Требование сообщать субъектам персональных данных о включении их персональных данных, полученных от третьих лиц, в Базовый регистр нарушает право субъектов персональных данных, предусмотренное пунктом «а» ст. 8 Конвенции. Согласно пункту «а» ст. 8 Конвенции, любое лицо вправе знать о существовании автоматизированного файла данных личного характера, знать его основные цели, а также название и место обычного проживания или место делового обзаведения контролера файла.

В нарушение этого принципа персональные данные получаются не у субъектов персональных данных, при этом сами субъекты персональных данных о включении их данных в Базовый регистр и об обработке их персональных данных в составе Регистра не уведомляются, им не сообщается предусмотренная Законом о персональных данных информация об обработке персональных данных.

– Принцип, согласно которому персональные данные, подвергающиеся автоматизированной обработке, собираются и обрабатываются на справедливой и законной основе (пункт «а» ст. 5).

Персональные данные, которые включаются в Базовый реестр, изначально были предоставлены субъектами этих данных для других целей (как правило, для целей предоставления конкретной государственной или муниципальной услуги, а не для целей их безвременного хранения в Базовом регистре в совокупности с большим количеством иных данных об этом субъекте для неограниченного круга применений). Обработка персональных данных исключительно в целях, для которых они были предоставлены, является одной из составляющих принципа законности обработки персональных данных (пункт «а» ст. 5 Конвенции).

– Принцип, согласно которому персональные данные, подвергающиеся автоматизированной обработке, хранятся для определенных и законных целей и не используются иным образом, несовместимым с этими целями.

В случае Базового регистра также существует проблема в слишком широко сформулированном исключении из общего правила об обработке персональных данных (п. 4 ч. 1 ст. 6 Закона о персональных данных). Формально хранение персональных данных в Базовом регистре осуществляется для целей предоставления государственных услуг, т. е. для определенной законом цели.

Однако на самом деле для предоставления государственных услуг такое хранение не является необходимым. Более того, Федеральный закон № 210-ФЗ предусматривает единственный способ получения органами власти сведений, находящихся в распоряжении других органов власти – в порядке межведомственного взаимодействия, осуществляемого после поступления запроса на получение услуги от заявителя. Основные положения, касающиеся этого порядка, установлены тем же Федеральным законом № 210-ФЗ, а агрегирование персональных данных в едином информационном ресурсе (регистре, базе данных) данным законом не предусмотрено.

– Принцип, согласно которому персональные данные, подвергающиеся автоматизированной обработке, должны являться адекватными, относящимися к делу и не чрезмерными для целей их хранения.

Состав сведений Базового регистра является чрезмерным для целей предоставления каждой конкретной государственной или муниципальной услуги. Хранение всей совокупности сведений (в том числе персональных данных), необходимых для предоставления всех без исключения государственных услуг, является чрезмерным по отношению к цели предоставления каждой конкретной государственной услуги.

Рассмотренный пример можно считать характерным для публичного сектора, использующего расширенное, за пределами сформулированных Конвенцией принципов, толкование п. 4 ч. 1 ст. 6 Закона о персональных данных.

1.3. Противоречия между Федеральным законом № 152-ФЗ и Федеральным законом № 149-ФЗ

Имеет место некоторая несогласованность понятия «конфиденциальность информации» в Федеральном законе от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и понятия «конфиденциальность персональных данных» в Федеральном законе от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

Так, в Федеральном законе № 149-ФЗ (ст. 2) конфиденциальность информации – это «обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя». В такой конструкции термин «передавать» подразумевает конкретного адресата, однако на практике его может не быть. Кроме того, согласие обладателя информации на передачу информации третьим лицам не может быть единственным для этого условием, так как законодательство Российской Федерации, прежде всего законодательство о безопасности и Федеральный закон «О персональных данных», предусматривают и иные законные основания в качестве исключения из общего правила (наличия согласия субъекта персональных данных)[1]1
  Волчинская Е. К. Некоторые правовые проблемы применения Федерального закона «О персональных данных» // Персональные данные. 2009. № 2.


[Закрыть].

Ст. 7 Федерального закона «Оперсональныхданных» содержит более точное определение, относящееся к конфиденциальной информации – конфиденциальности персональных данных: «Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом».

1.4. Противоречия между Федеральным законом № 152-ФЗ и Федеральным законом № 210-ФЗ

В соответствии с ч. 3 ст. 7 Федерального закона № 210-ФЗ, в случае если для предоставления государственной или муниципальной услуги необходима обработка персональных данных лица, не являющегося заявителем, и если в соответствии с Законом о персональных данных такая обработка может осуществляться с согласия указанного лица, при обращении за получением государственной или муниципальной услуги заявитель дополнительно представляет документы, подтверждающие получение согласия указанного лица или его законного представителя на обработку персональных данных указанного лица.

Данное положение вносит неопределенность. В соответствии с п. 4 ч. 1 ст. 6 Федерального закона «О персональных данных» персональные данные могут обрабатываться без согласия субъекта персональных данных, если такая обработка необходима для исполнения полномочий государственных и муниципальных органов, а также функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг. При этом закон не конкретизирует, касается ли данное положение только случая, когда государственная или муниципальная услуга предоставляется самому субъекту персональных данных или третьему лицу. Следовательно, можно сделать вывод, что п. 4 ч. 1 ст. 6 Закона о персональных данных позволяет обрабатывать персональные данные без согласия субъекта персональных данных, если такая обработка необходима для предоставления государственной или муниципальной услуги кому бы то ни было.

Ч. 4 ст. 7 Федерального закона № 210-ФЗ предусматривает, что получение согласия заявителя как субъекта персональных данных не требуется для обработки органами, предоставляющими государственные услуги, органами, предоставляющими муниципальные услуги, иными государственными органами, органами местного самоуправления, подведомственными государственным органам или органам местного самоуправления организациями, участвующими в предоставлении предусмотренных государственных и муниципальных услуг, персональных данных в целях предоставления персональных данных заявителя, имеющихся в распоряжении таких органов или организаций, в орган, предоставляющий государственную услугу, орган, предоставляющий муниципальную услугу, либо подведомственную государственному органу или органу местного самоуправления организацию, участвующую в предоставлении государственных и муниципальных услуг, либо многофункциональный центр на основании межведомственных запросов таких органов или организаций для предоставления государственной или муниципальной услуги по запросу заявителя.

По сути данная норма частично конкретизирует норму п. 4 ч. 1 ст. 6 Закона о персональных данных. Если указанная норма Закона о персональных данных говорит, что получение согласия на обработку персональных данных не требуется, если такая обработка необходима для обеспечения предоставления государственных или муниципальных услуг, то положение ч. 4 ст. 7 Федерального закона № 210-ФЗ касается лишь одного частного механизма, обеспечивающего предоставление государственных или муниципальных услуг – обмена персональными данными в порядке межведомственного и межуровневого взаимодействия.

Следует отметить, что ч. 4 ст. 7 Федерального закона № 210-ФЗ, регулируя порядок обработки персональных данных при их передаче в порядке межведомственного взаимодействия, не затрагивает вопроса об обработке персональных данных при формировании и ведении базовых государственных информационных ресурсов, которые предназначены для использования при осуществлении межведомственного информационного взаимодействия в целях предоставления государственных и муниципальных услуг (п. 1 Требований к порядку формирования, актуализации и использования базовых государственных информационных ресурсов, утверждены постановлением Правительства Российской Федерации от 14 сентября 2012 г. № 928).

Поскольку Закон о персональных данных и Федеральный закон № 210-ФЗ имеют одинаковую юридическую силу, то ч. 4 ст. 7 Федерального закона № 210-ФЗ не изменяет и не отменяет общую норму п. 4 ч. 1 ст. 6 Закона о персональных данных. Следовательно, указанные две нормы действуют параллельно. Таким образом, поскольку формирование и ведение базовых государственных информационных ресурсов необходимо для осуществления межведомственного взаимодействия и предоставления государственных и муниципальных услуг, то обработка персональных данных при их формировании и ведении в силу п. 4 ч. 1 ст. 6 Закона о персональных данных может осуществляться без согласия субъекта персональных данных.

Также необходимо обратить внимание, что, например, из ч. 2 ст. 7.1 Федерального закона № 210-ФЗ следует, что направление межведомственного запроса и представление документов и информации по межведомственным запросам допускаются только в целях, связанных с предоставлением государственных или муниципальных услуг и (или) ведением базовых государственных информационных ресурсов в целях предоставления государственных или муниципальных услуг.

Однако при планировании и реализации мероприятий по организации межведомственного и межуровневого взаимодействия (в том числе при использовании системы межведомственного электронного взаимодействия[2]2
  Постановление Правительства РФ от 28.11.2011 № 697 «О единой системе межведомственного электронного взаимодействия».


[Закрыть]) данное требование закона было учтено не полностью. Система межведомственного электронного взаимодействия не в полной мере позволяет при получении межведомственного запроса установить наличие права у субъекта, запрашивающего данные, на получение запрашиваемой информации, а также необходимость получения данной информации для предоставления государственной или муниципальной услуги. При этом реализованные на практике взаимодействия отличаются от тех, что были спроектированы и утверждены согласно действующим правовым актам (с использованием «технологических карт межведомственного взаимодействия» – ТКМВ и соответствующей государственной информационной системы «Проектирование ТКМВ»). Также не осуществляется должный учет сведений о фактически направленных и исполненных запросов, на основании которых можно было бы установить, были запросы целевыми и законными или нет.

Подробнее рассмотренные вопросы анализируются в следующем разделе.