Файл: Персональные данные в системе информации ограниченного доступа.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 03.12.2023
Просмотров: 124
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Целью правового режима конфиденциальности персональных
1
Антопольский, A.A. Правовое регулирование информации ограниченного доступа в сфере государственного управления автореф. дис. … канд. юрид. наук / А.А. Антопольский. – МС Терещенко, Л.К. Правовой режим информации / Л.К. Терещенко. – М Юриспруденция, 2007. – Сданных в таком случае следует считать установление прав и обязанностей субъектов отношений, возникающих по поводу персональных данных, как разновидности информации, их защите и обеспечении информационной безопасности с учетом сохранения баланса интересов личности, общества и государства. Именно достижение такого состояния в конечном итоге стоит рассматривать как конечную цель установления режима персональных данных. В этой связи было бы не совсем правильным рассматривать в качестве единственной цели правового режима персональных данных обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, как это указывается в Законе о персональных данных. С таким утверждением отчасти можно согласиться, однако говорить о том, что этим исчерпывается целевое назначение правового режима, представляется не совсем точным. Установление определенных ограничений на использование и обработку персональных данных в действительности является результатом стремления, с одной стороны, к обеспечению защищенности прав и свобод личности путем ограничения нежелательных действий с информацией персонального характера, с другой стороны, к обеспечению интересов государства и общества при обработке информации об индивидах, устанавливая для последних определенный круг прав и обязанностей, а также гарантируя им возможность, при определенных законом условиях, иметь доступ к персональным данным, обрабатывать их, действуя в своем собственном интересе. Именно это закреплено в Доктрине информационной безопасности, которая подчеркивает необходимость соблюдения баланса между потребностью граждан в свободном обмене информацией и ограничениями,
1
О персональных данных федер. закон от 27.07.2006 № 152-ФЗ (ред. от 22.02.2017). – Ст. 2.
2
Доктрина информационной безопасности Российской Федерации (утверждена Указом Президента Российской Федерации от 5 декабря 2016 г. № 646). – (https://rg.ru/2016/12/06/doktrina-infobezobasnost-site- dok.html). – Дата обращения 02.04.2016.
104 связанными с необходимостью обеспечения национальной безопасности, в том числе информационной. Безусловно, для личности право на информацию и право на доступ к информации являются важнейшими из конституционных прав человека и гражданина, которые связаны не только со свободным обменом информацией, но и необходимостью обеспечения защиты информации, обеспечивающей личную безопасность. Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных в своей преамбуле ясно указывает на необходимость сохранения баланса интересов личности в части защиты его фундаментальных прав и свобод, в частности права на уважение частной жизни, в тоже время признавая необходимость согласования ее с идеей свободы информации и информационного обмена между народами. Эта идея также просматривается в Преамбуле ист Директивы № 95/46/ЕС, в которых указывается на необходимость уважения фундаментальных прав и свобод личности при обработке персональной информации при гарантиях сохранения свободного обращения информации. Трактовка положений ст. 55 российской Конституции также вполне очевидно подразумевает необходимость учета интересов всех субъектов, подчеркивая, что ограничения прав и свобод возможно только в той мере, которая необходима для защиты прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства, и только на основании закона. Ограничение обработки персональных данных в этой связи может рассматриваться краеугольным камнем защиты прав и свобод личности в информационной сфере, что, впрочем, не исключает возможность таковой полностью – при соблюдении правили условий, установленных законом. Как мы видим, появление правового режима персональных данных объясняется необходимостью обеспечения личной информационной безопасности индивида, те. создание условий, исключающих посягательство на права и законные интересы личности с использованием персональной
105 информации, что стоит рассматривать в качестве основной – конечной цели установления правового режима персональных данных, при обязательном условии сохранения баланса интересов общества и государства, интересы которых могут быть связаны с необходимостью данных об индивидах.
Объектом правового режима конфиденциальности персональных данных как информации ограниченного доступа следует рассматривать отношения, возникающие в связи с обработкой персональных данных, те. информации, переданной индивидом другим субъектам права – конфидентам на условиях соблюдения ее конфиденциальности, что и позволяет рассматривать их как информацию ограниченного доступа или конфиденциальную информацию. В этой связи можно лишь напомнить о том, что автор не ставит целью рассмотрения правового режима персональных данных в целом, как сравнительно сложной разновидности информации, которая может быть как общедоступной, таки ограниченного доступа. Резюмируя сказанное, а также в целом содержание первой главы настоящей работы, в которой уже было дано исчерпывающее понятие персональных данных как разновидности информации, объектом специального правового режима персональных данных как информации ограниченного доступа следует рассматривать отношения, возникающие в связи с обработкой конфиденциальных персональных данных – те. персональных данных, в отношении которых на основании положений закона о персональных данных установлено требование о соблюдении их конфиденциальности и, как следствие, распространяется правовой режим их конфиденциальности Правовое положение субъектов правового режима конфиденциальности персональных данных. Круг субъектов специального правого режима персональных данных крайне широки его субъектами могут быть физические и юридические лица, государственные органы, органы местного самоуправления и т.д. Однако специфика правового режима
106 персональных данных ориентирована на разделение всего круга потенциальных субъектов на несколько основных групп, к которым их следует отнести на основании анализа положений закона о персональных данных Субъект персональных данных – всегда физическое лицо, информация о котором содержится в информационной системе персональных данных Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных Уполномоченный орган по защите прав субъектов персональных данных. Учитывая характер настоящего исследования и его целите. рассмотрение отношений, складывающихся по поводу конфиденциальных персональных данных, в этот перечень можно внести некоторые коррективы. Как ив случаях с другими разновидностями конфиденциальной информации основными участниками таких отношений следует признать – обладателя информации (тайны и конфидента, которому она доверяется, те. которому предоставляется доступ к информации. Применительно к отношениям по поводу персональных данных, очевидно, этими лицами будут субъект персональных данных – обладатель и оператор – конфидент. Именно этот факт обуславливает достаточно типичную систему отношений между ними, которую можно описать схемой обладатель – конфидент. Основным отличием таких отношений является, как правило, возможность обладателя определять правила и порядок доступа к информации, фактически определять режим информации – ограничить доступ к ней или сделать общедоступной он также вправе требовать соблюдения ее конфиденциальности в случае передачи ее конфиденту – оператору. В результате отличием правового положения субъекта
107 персональных данных как участника рассматриваемых отношений следует считать наличие у него, как у обладателя, безусловного права на определение режима своих персональных данных, те сохранить их втайне (в режиме личной, семейной тайны, тайны частной жизни и т.д.), если иное не предусмотрено законом передать их оператору на условиях сохранения их конфиденциальности (для оператора эти сведения могут находиться в условиях режима иной тайны служебной тайны, банковской тайны, налоговой тайны и т.д.). Отметим, что необходимость сохранения конфиденциальности данных презюмируется на основании закона сделать эти сведения общедоступными, те. распространить на них режим общедоступной информации. Напротив, правовое положение оператора как конфидента будет обусловлено обязанностью по сохранению конфиденциальности персональных данных, которая является необходимым условием их обработки и не может быть отменена им по собственному усмотрению. Наличие в системе отношений по обработке персональных данных органа по защите прав субъектов персональных данных обусловлено спецификой самих отношений, учитывая, что одной из сторон отношений по обработке персональных данных является индивид, который зачастую не обладает существенными возможностями по контролю за оборотом информации о себе и соблюдению в целом режима персональных данных операторами, которых может насчитываться многие десятки, если не сотни и даже тысячи. В этом отношении орган по защите прав субъектов персональных данных выступает органом административного контроля надзора) за соблюдением законодательства о персональных данных операторами и обеспечивает защиту прав субъектов персональных данных, что обуславливает специфику его правого статута. В тоже время в отношениях по обработке персональных данных и
108 обеспечения их конфиденциальности присутствуют и другие субъекты, часть из которых лишь частично упоминается в законе о персональных данных
– работник, состоящий в трудовых отношениях с оператором и имеющий доступ к персональным данным в рамках исполнения своих должностных обязанностей
– лицо, ответственное за организацию обработки персональных данных в организациях
– лицо, осуществляющее непосредственно обработку персональных данных по поручению оператора (обработчик персональных данных в рамках гражданско-правового договора, государственного или муниципального контракта
3
Очевидно, что все перечисленные выше субъекты имеют прямую связь с оператором и действуют от его имени или в его интересе и как следствие их правовой статус характеризуется в первую очередь обязанностью по соблюдению конфиденциальности персональных данных, к которым они имеют доступ в силу трудовых или гражданско-правовых отношений с оператором. Последний факт часто объясняет установление ответственности оператора за их действия перед субъектом, и наоборот. Отметим, что указанные субъекты были введены в законодательство не так давно, начиная с середины 2011 года, и их появление стало результатом вполне справедливой критики в адрес законодателя. Упоминание об обработчике персональных данных как субъекте отношений в сфере персональных данных можно встретить у Ю.В. Травкина
6
В целом круг субъектов специального правового режима персональных данных можно представить следующим образом (см. рис
1
О персональных данных федер. закон от 27.07.2006 № 152-ФЗ (ред. от 22.02.2017). Ст. 18.1, паб Там же. – Ст. 22.1.
3
Там же. – Ст. 6, п. 3.
4
Там же. – Ст. 6, пи О внесении изменений в Федеральный закон О персональных данных федер. закон от 25.07.2011 № 261-
ФЗ // Собрание законодательства Российской Федерации. – 2011. – № 31. – Ст. 4701.
6
Травкин, Ю.В. Персональные данные. / Ю.В. Травкин. – М Амалданик, 2007.
109 Рис. 4. Отметим, что поскольку персональные данные достаточно универсальная категория и могут быть объектом как публично-правовых отношений (формирование государственных автоматизированных систем и другие случаи, таки частноправовых отношений (отношения по продвижению товаров и услуг на рынке, то соответственно положение субъектов может быть как равным, таки неравным. В действительности предоставление персональных данных зачастую является необходимым условием получения государственных, муниципальных и иных услуг, вступления в договорные отношения, а также неисчислимого количества иных случаев. В тоже время, даже в случае отношений частного характера, сохраняется безусловное требование, обращенное к оператору по соблюдению конфиденциальности данных, а также иные обязанности перед субъектом персональных данных и уполномоченным органом, за исключением установленных законом случаев
1
Подробнее о правовом статусе каждого из субъектов отношений по обработке персональных данных будет сказано далее.
Комплекс способов правового регулирования и средств юридического воздействия. Наиболее типичными способами правового регулирования принято считать дозволение, запрещение, позитивное обязывание. Как правило, в рамках конкретного правового режима
1
О персональных данных федер. закон от 27.07.2006 № 152-ФЗ (ред. от 22.02.2017). – Ст. 7. Орган по защите прав субъектов ПД Субъект ПД – обладатель информации Оператор ПД – конфидент Работник оператора Лицо, ответственное за обработку ПД Обработчик
ПД
110 используется не один, а несколько способов в определенном сочетании или комплексе, при этом часть из них может доминировать, что может свидетельствовать о степени жесткости правового режима. Вполне уместным можно считать в этой связи классификацию режимов, предложенную А.В. Деминым: явочный режим – режим государственного невмешательства, свободы выбора поведения
регламентационный
– государство формирует правовое пространство, в рамках которого – также свобода выбирать поведение уведомительный
– предусматривающий информирование государства о выбранном поведении договорный – поведение строится в соответствии с условиями соглашения регистрационный
– предусматривающий обязанность зарегистрировать выбранное поведение разрешительный – предусматривающий обязанность получить разрешение на выбранное поведение распорядительный – поведение строится на основании прямых указаний государства запретительный – режим государственной монополии либо запрет определенных вариантов поведения»
1
Очевидно, что с такой позиции следует характеризовать правовой режим того или иного вида информации в целом, учитывая, что фактически в рамках правового режима могут быть использованы все способы правового регулирования в различной степени. Наиболее существенное значение в определении способов и конечном итоге характера правового режима играет его конечная цель, которая должна
1
Демин, А.В. Общие вопросы теории административного договора монография / А.В. Демин. – Красноярск Изд-во Краснояр. унта, 1998. – Сбыть достигнута путем установления такого режима. Не является исключением в этом случае и правовой режим персональных данных, который направленна обеспечение информационной безопасности личности через возможность ограничения свободы информации в части оборота информации персонального характера. Учитывая также общий характер отношений по поводу персональных данных как информации ограниченного доступа, можно говорить скорее о
регламентационном характере режима персональных данных в целом, в том числе конфиденциальных. Такой вывод обусловлен в значительной степени характеристиками правового статуса субъекта персональных данных, который вправе выбрать в установленных законом рамках наиболее оптимальный, по своему усмотрению, режим своих персональных данных конфиденциальные и общедоступные персональные данные. Сточки зрения оператора персональных данных, рассматриваемый режим следует характеризовать скорее как уведомительный, поскольку закон связывает деятельность по формированию и обработке персональных данных с необходимостью уведомления о таковой уполномоченного органа по защите прав субъектов персональных данных, подразумевая, хоть это прямо и не указано в законе, что субъект персональных данных лично и добровольно передает ему данные, действуя в своем интересе, при условии сохранения их конфиденциальности.
112
2.3. Конфиденциальность как элемент правового режима персональных данных Широкое использование термина конфиденциальность является сравнительно новым для российского законодательства и практики, которые до появления Федерального закона Об информации, информационных технологиях и о защите информации, где в ч. 1 статьи 2 было дано определение этому термину, использовали его лишь эпизодически. Впоследствии многие законодательные акты стали приводиться в соответствии с этими положениями и чаще использовать этот термин при обозначении информации с ограниченным доступом, взамен ранее использовавшегося термина конфиденциальная информация, о чем уже ранее упоминалось в работе. Прежде чем перейти к анализу непосредственно содержания термина конфиденциальность, как элемента правового режима персональных данных, стоит сделать некоторое отступление, касающееся взаимоотношения понятий информационная безопасность, защита информации и конфиденциальность. Такая необходимость целесообразна, учитывая тот факт, что часто эти термины употребляются в одних и тех же текстах. Общий анализ юридической литературы и источников позволяет говорить о некоторой взаимозаменяемости этих понятий. Наибольшие расхождения, пожалуй, могут возникнуть при трактовке термина информационная безопасность, который в большинстве случаев, как, например, у В.Н. Лопатина
2
, также как в большинстве программных документов, например в Доктрине информационной безопасности РФ, определяется как состояние защищенности личности, общества и
1
Об информации, информационных технологиях и о защите информации федер. закон от 29.07.2006 № 149-
ФЗ (ред. от 19.12.2016).
2
Лопатин, В.Н. Информационная безопасность России Человек. Общество. Государство / В.Н. Лопатин. –
Спб.: СПб унт МВД РФ, Фонд Университет, 2000. – С. 79.
3
Доктрина информационной безопасности Российской Федерации (утверждена Указом Президента Российской Федерации от 5 декабря 2016 г. № 646). – (https://rg.ru/2016/12/06/doktrina-infobezobasnost-site- dok.html). – Дата обращения 02.04.2016.
113 государства от внутренних и внешних информационных угроз, при котором обеспечиваются реализация конституционных прав и свобод человека и гражданина, достойные качество и уровень жизни граждан, суверенитет, территориальная целостность и устойчивое социально-экономическое развитие Российской Федерации, оборона и безопасность государства»
1
Аналогичное по сути определение затем было использовано в Федеральном законе Об участии в международном информационном обмене (утратил силу. Как видно, информационная безопасность – это определенное состояние, обеспечивающее реализацию интересов личности, общества и государства в информационной сфере, которое достигается или является целью деятельности по ее обеспечению. Лишь в некоторых случаях можно встретить так называемую узкую трактовку термина информационная безопасность, как например меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия, и задержек в доступе. В этом случае речь обычно идет об информационной безопасности каких-либо объектов информации, как то информационная система, данные или иной конкретный вид информации. Словосочетание защита информации является достаточно часто употребляемым, но, как правило, его трактовка отсутствовала в тексте нормативных документов ив доктринальных источниках, к тому же в юридических текстах речь обычно шла скорее о защите не собственно информации, а прав на нее, как например защита права на доступ к информации или защита прав на информацию ограниченного доступа»
4
С появлением относительно четких законодательных положений, определяющих содержание защиты информации, вопрос был в определенной
1
Бачило, ИЛ. Информационное право / ИЛ. Бачило, В.Н. Лопатин, МА. Федотов. – СПб.: Юридический центр Пресс, 2005. – С. 592.
2
Об участии в международном информационном обмене федер. закон от 04.07.1996 № 85-ФЗ (ред. от
29.06.2004). (Утратил силу Введение в информационную безопасность. Компьютеры преступления, признаки уязвимости и меры защиты. – М, 1998.
4
Лопатин, В.Н. Информационная безопасность России Человек. Общество. Государство / В.Н. Лопатин. –
Спб.: СПб унт МВД РФ, Фонд Университет, 2000. – С. 134, 170.
1
Антопольский, A.A. Правовое регулирование информации ограниченного доступа в сфере государственного управления автореф. дис. … канд. юрид. наук / А.А. Антопольский. – МС Терещенко, Л.К. Правовой режим информации / Л.К. Терещенко. – М Юриспруденция, 2007. – Сданных в таком случае следует считать установление прав и обязанностей субъектов отношений, возникающих по поводу персональных данных, как разновидности информации, их защите и обеспечении информационной безопасности с учетом сохранения баланса интересов личности, общества и государства. Именно достижение такого состояния в конечном итоге стоит рассматривать как конечную цель установления режима персональных данных. В этой связи было бы не совсем правильным рассматривать в качестве единственной цели правового режима персональных данных обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, как это указывается в Законе о персональных данных. С таким утверждением отчасти можно согласиться, однако говорить о том, что этим исчерпывается целевое назначение правового режима, представляется не совсем точным. Установление определенных ограничений на использование и обработку персональных данных в действительности является результатом стремления, с одной стороны, к обеспечению защищенности прав и свобод личности путем ограничения нежелательных действий с информацией персонального характера, с другой стороны, к обеспечению интересов государства и общества при обработке информации об индивидах, устанавливая для последних определенный круг прав и обязанностей, а также гарантируя им возможность, при определенных законом условиях, иметь доступ к персональным данным, обрабатывать их, действуя в своем собственном интересе. Именно это закреплено в Доктрине информационной безопасности, которая подчеркивает необходимость соблюдения баланса между потребностью граждан в свободном обмене информацией и ограничениями,
1
О персональных данных федер. закон от 27.07.2006 № 152-ФЗ (ред. от 22.02.2017). – Ст. 2.
2
Доктрина информационной безопасности Российской Федерации (утверждена Указом Президента Российской Федерации от 5 декабря 2016 г. № 646). – (https://rg.ru/2016/12/06/doktrina-infobezobasnost-site- dok.html). – Дата обращения 02.04.2016.
104 связанными с необходимостью обеспечения национальной безопасности, в том числе информационной. Безусловно, для личности право на информацию и право на доступ к информации являются важнейшими из конституционных прав человека и гражданина, которые связаны не только со свободным обменом информацией, но и необходимостью обеспечения защиты информации, обеспечивающей личную безопасность. Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных в своей преамбуле ясно указывает на необходимость сохранения баланса интересов личности в части защиты его фундаментальных прав и свобод, в частности права на уважение частной жизни, в тоже время признавая необходимость согласования ее с идеей свободы информации и информационного обмена между народами. Эта идея также просматривается в Преамбуле ист Директивы № 95/46/ЕС, в которых указывается на необходимость уважения фундаментальных прав и свобод личности при обработке персональной информации при гарантиях сохранения свободного обращения информации. Трактовка положений ст. 55 российской Конституции также вполне очевидно подразумевает необходимость учета интересов всех субъектов, подчеркивая, что ограничения прав и свобод возможно только в той мере, которая необходима для защиты прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства, и только на основании закона. Ограничение обработки персональных данных в этой связи может рассматриваться краеугольным камнем защиты прав и свобод личности в информационной сфере, что, впрочем, не исключает возможность таковой полностью – при соблюдении правили условий, установленных законом. Как мы видим, появление правового режима персональных данных объясняется необходимостью обеспечения личной информационной безопасности индивида, те. создание условий, исключающих посягательство на права и законные интересы личности с использованием персональной
105 информации, что стоит рассматривать в качестве основной – конечной цели установления правового режима персональных данных, при обязательном условии сохранения баланса интересов общества и государства, интересы которых могут быть связаны с необходимостью данных об индивидах.
Объектом правового режима конфиденциальности персональных данных как информации ограниченного доступа следует рассматривать отношения, возникающие в связи с обработкой персональных данных, те. информации, переданной индивидом другим субъектам права – конфидентам на условиях соблюдения ее конфиденциальности, что и позволяет рассматривать их как информацию ограниченного доступа или конфиденциальную информацию. В этой связи можно лишь напомнить о том, что автор не ставит целью рассмотрения правового режима персональных данных в целом, как сравнительно сложной разновидности информации, которая может быть как общедоступной, таки ограниченного доступа. Резюмируя сказанное, а также в целом содержание первой главы настоящей работы, в которой уже было дано исчерпывающее понятие персональных данных как разновидности информации, объектом специального правового режима персональных данных как информации ограниченного доступа следует рассматривать отношения, возникающие в связи с обработкой конфиденциальных персональных данных – те. персональных данных, в отношении которых на основании положений закона о персональных данных установлено требование о соблюдении их конфиденциальности и, как следствие, распространяется правовой режим их конфиденциальности Правовое положение субъектов правового режима конфиденциальности персональных данных. Круг субъектов специального правого режима персональных данных крайне широки его субъектами могут быть физические и юридические лица, государственные органы, органы местного самоуправления и т.д. Однако специфика правового режима
106 персональных данных ориентирована на разделение всего круга потенциальных субъектов на несколько основных групп, к которым их следует отнести на основании анализа положений закона о персональных данных Субъект персональных данных – всегда физическое лицо, информация о котором содержится в информационной системе персональных данных Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных Уполномоченный орган по защите прав субъектов персональных данных. Учитывая характер настоящего исследования и его целите. рассмотрение отношений, складывающихся по поводу конфиденциальных персональных данных, в этот перечень можно внести некоторые коррективы. Как ив случаях с другими разновидностями конфиденциальной информации основными участниками таких отношений следует признать – обладателя информации (тайны и конфидента, которому она доверяется, те. которому предоставляется доступ к информации. Применительно к отношениям по поводу персональных данных, очевидно, этими лицами будут субъект персональных данных – обладатель и оператор – конфидент. Именно этот факт обуславливает достаточно типичную систему отношений между ними, которую можно описать схемой обладатель – конфидент. Основным отличием таких отношений является, как правило, возможность обладателя определять правила и порядок доступа к информации, фактически определять режим информации – ограничить доступ к ней или сделать общедоступной он также вправе требовать соблюдения ее конфиденциальности в случае передачи ее конфиденту – оператору. В результате отличием правового положения субъекта
107 персональных данных как участника рассматриваемых отношений следует считать наличие у него, как у обладателя, безусловного права на определение режима своих персональных данных, те сохранить их втайне (в режиме личной, семейной тайны, тайны частной жизни и т.д.), если иное не предусмотрено законом передать их оператору на условиях сохранения их конфиденциальности (для оператора эти сведения могут находиться в условиях режима иной тайны служебной тайны, банковской тайны, налоговой тайны и т.д.). Отметим, что необходимость сохранения конфиденциальности данных презюмируется на основании закона сделать эти сведения общедоступными, те. распространить на них режим общедоступной информации. Напротив, правовое положение оператора как конфидента будет обусловлено обязанностью по сохранению конфиденциальности персональных данных, которая является необходимым условием их обработки и не может быть отменена им по собственному усмотрению. Наличие в системе отношений по обработке персональных данных органа по защите прав субъектов персональных данных обусловлено спецификой самих отношений, учитывая, что одной из сторон отношений по обработке персональных данных является индивид, который зачастую не обладает существенными возможностями по контролю за оборотом информации о себе и соблюдению в целом режима персональных данных операторами, которых может насчитываться многие десятки, если не сотни и даже тысячи. В этом отношении орган по защите прав субъектов персональных данных выступает органом административного контроля надзора) за соблюдением законодательства о персональных данных операторами и обеспечивает защиту прав субъектов персональных данных, что обуславливает специфику его правого статута. В тоже время в отношениях по обработке персональных данных и
108 обеспечения их конфиденциальности присутствуют и другие субъекты, часть из которых лишь частично упоминается в законе о персональных данных
– работник, состоящий в трудовых отношениях с оператором и имеющий доступ к персональным данным в рамках исполнения своих должностных обязанностей
– лицо, ответственное за организацию обработки персональных данных в организациях
– лицо, осуществляющее непосредственно обработку персональных данных по поручению оператора (обработчик персональных данных в рамках гражданско-правового договора, государственного или муниципального контракта
3
Очевидно, что все перечисленные выше субъекты имеют прямую связь с оператором и действуют от его имени или в его интересе и как следствие их правовой статус характеризуется в первую очередь обязанностью по соблюдению конфиденциальности персональных данных, к которым они имеют доступ в силу трудовых или гражданско-правовых отношений с оператором. Последний факт часто объясняет установление ответственности оператора за их действия перед субъектом, и наоборот. Отметим, что указанные субъекты были введены в законодательство не так давно, начиная с середины 2011 года, и их появление стало результатом вполне справедливой критики в адрес законодателя. Упоминание об обработчике персональных данных как субъекте отношений в сфере персональных данных можно встретить у Ю.В. Травкина
6
В целом круг субъектов специального правового режима персональных данных можно представить следующим образом (см. рис
1
О персональных данных федер. закон от 27.07.2006 № 152-ФЗ (ред. от 22.02.2017). Ст. 18.1, паб Там же. – Ст. 22.1.
3
Там же. – Ст. 6, п. 3.
4
Там же. – Ст. 6, пи О внесении изменений в Федеральный закон О персональных данных федер. закон от 25.07.2011 № 261-
ФЗ // Собрание законодательства Российской Федерации. – 2011. – № 31. – Ст. 4701.
6
Травкин, Ю.В. Персональные данные. / Ю.В. Травкин. – М Амалданик, 2007.
109 Рис. 4. Отметим, что поскольку персональные данные достаточно универсальная категория и могут быть объектом как публично-правовых отношений (формирование государственных автоматизированных систем и другие случаи, таки частноправовых отношений (отношения по продвижению товаров и услуг на рынке, то соответственно положение субъектов может быть как равным, таки неравным. В действительности предоставление персональных данных зачастую является необходимым условием получения государственных, муниципальных и иных услуг, вступления в договорные отношения, а также неисчислимого количества иных случаев. В тоже время, даже в случае отношений частного характера, сохраняется безусловное требование, обращенное к оператору по соблюдению конфиденциальности данных, а также иные обязанности перед субъектом персональных данных и уполномоченным органом, за исключением установленных законом случаев
1
Подробнее о правовом статусе каждого из субъектов отношений по обработке персональных данных будет сказано далее.
Комплекс способов правового регулирования и средств юридического воздействия. Наиболее типичными способами правового регулирования принято считать дозволение, запрещение, позитивное обязывание. Как правило, в рамках конкретного правового режима
1
О персональных данных федер. закон от 27.07.2006 № 152-ФЗ (ред. от 22.02.2017). – Ст. 7. Орган по защите прав субъектов ПД Субъект ПД – обладатель информации Оператор ПД – конфидент Работник оператора Лицо, ответственное за обработку ПД Обработчик
ПД
110 используется не один, а несколько способов в определенном сочетании или комплексе, при этом часть из них может доминировать, что может свидетельствовать о степени жесткости правового режима. Вполне уместным можно считать в этой связи классификацию режимов, предложенную А.В. Деминым: явочный режим – режим государственного невмешательства, свободы выбора поведения
регламентационный
– государство формирует правовое пространство, в рамках которого – также свобода выбирать поведение уведомительный
– предусматривающий информирование государства о выбранном поведении договорный – поведение строится в соответствии с условиями соглашения регистрационный
– предусматривающий обязанность зарегистрировать выбранное поведение разрешительный – предусматривающий обязанность получить разрешение на выбранное поведение распорядительный – поведение строится на основании прямых указаний государства запретительный – режим государственной монополии либо запрет определенных вариантов поведения»
1
Очевидно, что с такой позиции следует характеризовать правовой режим того или иного вида информации в целом, учитывая, что фактически в рамках правового режима могут быть использованы все способы правового регулирования в различной степени. Наиболее существенное значение в определении способов и конечном итоге характера правового режима играет его конечная цель, которая должна
1
Демин, А.В. Общие вопросы теории административного договора монография / А.В. Демин. – Красноярск Изд-во Краснояр. унта, 1998. – Сбыть достигнута путем установления такого режима. Не является исключением в этом случае и правовой режим персональных данных, который направленна обеспечение информационной безопасности личности через возможность ограничения свободы информации в части оборота информации персонального характера. Учитывая также общий характер отношений по поводу персональных данных как информации ограниченного доступа, можно говорить скорее о
регламентационном характере режима персональных данных в целом, в том числе конфиденциальных. Такой вывод обусловлен в значительной степени характеристиками правового статуса субъекта персональных данных, который вправе выбрать в установленных законом рамках наиболее оптимальный, по своему усмотрению, режим своих персональных данных конфиденциальные и общедоступные персональные данные. Сточки зрения оператора персональных данных, рассматриваемый режим следует характеризовать скорее как уведомительный, поскольку закон связывает деятельность по формированию и обработке персональных данных с необходимостью уведомления о таковой уполномоченного органа по защите прав субъектов персональных данных, подразумевая, хоть это прямо и не указано в законе, что субъект персональных данных лично и добровольно передает ему данные, действуя в своем интересе, при условии сохранения их конфиденциальности.
112
2.3. Конфиденциальность как элемент правового режима персональных данных Широкое использование термина конфиденциальность является сравнительно новым для российского законодательства и практики, которые до появления Федерального закона Об информации, информационных технологиях и о защите информации, где в ч. 1 статьи 2 было дано определение этому термину, использовали его лишь эпизодически. Впоследствии многие законодательные акты стали приводиться в соответствии с этими положениями и чаще использовать этот термин при обозначении информации с ограниченным доступом, взамен ранее использовавшегося термина конфиденциальная информация, о чем уже ранее упоминалось в работе. Прежде чем перейти к анализу непосредственно содержания термина конфиденциальность, как элемента правового режима персональных данных, стоит сделать некоторое отступление, касающееся взаимоотношения понятий информационная безопасность, защита информации и конфиденциальность. Такая необходимость целесообразна, учитывая тот факт, что часто эти термины употребляются в одних и тех же текстах. Общий анализ юридической литературы и источников позволяет говорить о некоторой взаимозаменяемости этих понятий. Наибольшие расхождения, пожалуй, могут возникнуть при трактовке термина информационная безопасность, который в большинстве случаев, как, например, у В.Н. Лопатина
2
, также как в большинстве программных документов, например в Доктрине информационной безопасности РФ, определяется как состояние защищенности личности, общества и
1
Об информации, информационных технологиях и о защите информации федер. закон от 29.07.2006 № 149-
ФЗ (ред. от 19.12.2016).
2
Лопатин, В.Н. Информационная безопасность России Человек. Общество. Государство / В.Н. Лопатин. –
Спб.: СПб унт МВД РФ, Фонд Университет, 2000. – С. 79.
3
Доктрина информационной безопасности Российской Федерации (утверждена Указом Президента Российской Федерации от 5 декабря 2016 г. № 646). – (https://rg.ru/2016/12/06/doktrina-infobezobasnost-site- dok.html). – Дата обращения 02.04.2016.
113 государства от внутренних и внешних информационных угроз, при котором обеспечиваются реализация конституционных прав и свобод человека и гражданина, достойные качество и уровень жизни граждан, суверенитет, территориальная целостность и устойчивое социально-экономическое развитие Российской Федерации, оборона и безопасность государства»
1
Аналогичное по сути определение затем было использовано в Федеральном законе Об участии в международном информационном обмене (утратил силу. Как видно, информационная безопасность – это определенное состояние, обеспечивающее реализацию интересов личности, общества и государства в информационной сфере, которое достигается или является целью деятельности по ее обеспечению. Лишь в некоторых случаях можно встретить так называемую узкую трактовку термина информационная безопасность, как например меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия, и задержек в доступе. В этом случае речь обычно идет об информационной безопасности каких-либо объектов информации, как то информационная система, данные или иной конкретный вид информации. Словосочетание защита информации является достаточно часто употребляемым, но, как правило, его трактовка отсутствовала в тексте нормативных документов ив доктринальных источниках, к тому же в юридических текстах речь обычно шла скорее о защите не собственно информации, а прав на нее, как например защита права на доступ к информации или защита прав на информацию ограниченного доступа»
4
С появлением относительно четких законодательных положений, определяющих содержание защиты информации, вопрос был в определенной
1
Бачило, ИЛ. Информационное право / ИЛ. Бачило, В.Н. Лопатин, МА. Федотов. – СПб.: Юридический центр Пресс, 2005. – С. 592.
2
Об участии в международном информационном обмене федер. закон от 04.07.1996 № 85-ФЗ (ред. от
29.06.2004). (Утратил силу Введение в информационную безопасность. Компьютеры преступления, признаки уязвимости и меры защиты. – М, 1998.
4
Лопатин, В.Н. Информационная безопасность России Человек. Общество. Государство / В.Н. Лопатин. –
Спб.: СПб унт МВД РФ, Фонд Университет, 2000. – С. 134, 170.