Проблема правовой защиты персональных данных
1. Одновременно с глобальными структурными изменениями, произошедшими в политике, экономике, социальной сфере России в 90-е гг. начался переход к информационному обществу. В последние 10 лет Россия становится полноценным участником глобальных процессов, происходящих в мире: вступление в 1996г. в Совет Европы, активное сотрудничество с Европейским союзом и США и, как следствие, признание соответствующих общепризнанных мировых стандартов, в том числе в области прав и свобод человека.
За этот период в России увеличилось количество различных баз данных, содержащих информацию персонального характера (персональные данные), держателями которой являются как государственные, так и частные, коммерческие структуры.
Тем не менее, вопросы, касающиеся сбора, обработки, хранения и передачи персональных данных не имеют достаточного правового, организационного и технического обеспечения.
Вызывает опасение негативная тенденция к проникновению преступности в информационную сферу. Получение криминальными структурами доступа к конфиденциальной информации, усиление степени их влияния на жизнь общества, неразвитость институтов гражданского общества препятствуют реализации прав граждан в информационной сфере и создают угрозу национальной безопасности Российской Федерации.
Необходимо отметить активное нарушение права на неприкосновенность частной жизни граждан со стороны средств массовой информации, распространяющих персональные данные, о чем свидетельствуют многочисленные скандальные разоблачения, герои которых вынуждены затем защищать свою честь и достоинство в суде.
В данной работе не рассматриваются технические методы защиты персональных данных. Цель данной работы определить степень защищенности информации, содержащей персональные данные и рассмотреть степень правового регулирования сбора, хранения, передачи, использования персональных данных, ответственности за несанкционированное получение и использование персональных данных в российском законодательстве.
В современном демократическом обществе права человека и, в частности, право на неприкосновенность частной жизни имеют первостепенное значение.
Информационное общество, в котором живет сегодня человек, с одной стороны, может стать благоприятной средой для развития личности. Но это же самое общество может стать агрессивной средой, разрушающей личность. Поэтому частная жизнь личности, равно как и жизнь общества в целом, должны быть защищены от разрушительного информационного воздействия.
Право на личную жизнь это право вести свою жизнь по собственному усмотрению при минимальном постороннем вмешательстве в нее. Оно касается личной, семейной и домашней жизни, физической неприкосновенности и духовной свободы личности, его чести и достоинства, необходимости не допускать, чтобы человека представляли в ложном свете, сохранения в тайне не имеющих отношения к делу неблагоприятных фактов, неразрешенной публикации частных фотографий, защиты от незаконного использования частной переписки, защиты от раскрытия информации, предоставленной или полученной на условиях конфиденциальности.
Особым институтом права на неприкосновенность частной жизни в условиях автоматизации и развития новых информационных технологий является институт персональных данных.
По некоторым данным, рынок персональных данных достигает 3 миллиардов долларов в год1.
Информация является инструментом, позволяющим достигать определенные цели и задачи по изменению сознания или определения поведения индивида и общества в целом.
Сведения о гражданах собираются и аккумулируются различными государственными (органы внутренних дел, бюро технической инвентаризации, органы актов гражданского состояния, медицинские учреждения, органы регистрации прав на недвижимое имущество и сделок с ним, органы регистрации юридических лиц и др.) и частными структурами (сотовые компании, частные образовательные, медицинские, юридические организации и т.д.) при рождении и получении документов, удостоверяющих личность, при поступлении на работу, при обращении в медицинские учреждения, при покупке недвижимого имущества (квартир, машин), при создании частных предприятий, в иных случаях. Совершая покупки в Интернет-магазинах, потребитель вынужден сообщать свои персональные данные. Однако владельцы таких магазинов не всегда обеспечивают охрану персональных данных, а отсутствие соответствующего закона создает пробел в правовом регулировании.
Кроме того, в последние годы в России широкое распространение получила такая практика избирательных технологий как персональное обращение кандидатов в органы государственной власти различного уровня непосредственно к избирателю. Граждане обнаруживают в своих почтовых ящиках персональные послания, адресованные каждому прописанному в квартире лицу, с указанием фамилии, имени, отчества, а исходя из текста некоторых посланий, очевидно, что автор владеет информацией и о возрасте потенциального избирателя. К сожалению, массовые предвыборные письма к согражданам тиражом не менее 1000 экземпляров, распространяются нынешними и будущими законодателями, т.е. людьми, которые априори должны руководствоваться в своих действиях нормами закона и принципами верховенства прав и свобод граждан, в том числе права на неприкосновенность частной жизни, защиты персональных данных и недопустимости произвольного вмешательства в частные дела. При этом, помимо вопроса о правомерности получения данных сведений персонального характера, сам факт их использования в целях, не соответствующих тем, для которых они аккумулировались в базах данных, думается мог бы стать объектом внимания соответствующих органов.
2. Персональные данные рассматриваются как информация (зафиксированная на материальном носителе) о конкретном человеке, которая отождествлена или может быть отождествлена с ним. К персональным данным относятся биографические и опознавательные данные, личные характеристики, сведения о семейном, социальном положении, образовании, профессии, служебном и финансовом положении, состоянии здоровья и прочие.
Первоначально к проблеме защиты персональных данных на международном уровне обратилась Организация по экономическому сотрудничеству и развитию (ОЭСР), принявшая в 1980 г. Директиву о защите неприкосновенности частной жизни и международных обменов персональными данными2. В дальнейшем эти принципы были детализированы в Конвенции Совета Европы Об охране личности в отношении автоматизированной обработки персональных данных (1981 г.), в Директиве Европейского сообщества о защите граждан в плане обработки информации личного характера от 27 июля 1990г., в Директиве Европейского Союза и Парламента 95/46/ЕС от 24 октября 1995 г. о защите прав частных лиц применительно к обработке персональных данных и свободном движении таких данных и Директиве 97/66/ЕС от 15.12.97 по обработке персональных данных защите, конфиденциальности в телекоммуникационном секторе3. В данных актах определены основные принципы организации автоматизированной обработки данных личного характера и обеспечения права граждан на защиту персональных данных:
- данные персонального характера должны быть собраны только для определенных целей и в строгом соответствии с законом;
- данные должны соответствовать требованиям, быть точными, полными и вовремя обновленными;
- цели, для достижения которых собираются и обрабатываются персональные данные, должны быть определены и утверждены до начала деятельности и использоваться только в этих целях;
- в системах учета персональных данных должны быть внедрены механизмы, предотвращающие потери или неправильное (или злоумышленное) использование персональных данных;
- деятельность организаций (как государственных, так и частных), имеющих базы данных, содержащих персональные данные, должна быть открытой. Такие организации должны предоставить возможность заинтересованным лицам и контролирующим органам убедиться в легитимности обработки персональных данных и целей этой обработки; граждане должны иметь право доступа к данным о них, которые хранятся и обрабатываются, а также должны иметь возможность требовать, чтобы соответствующие данные о них были изменены или исключены;
- держатели данных должны быть подконтрольными для обеспечения соблюдения настоящих принципов, для этих целей должно быть предусмотрено создание независимого контролируемого органа как важного элемента защиты личности при автоматизированной обработке информации личного характера.
3. В Европе лидером в сфере правового регулирования персональных данных является Германия. Первый закон о защите персональных данных был принят в Германии в земле Гессен в 1970 году.4 До этого подобных законов нигде в мире не было. За ним последовало принятие в 1977 году Федерального закона о защите персональных данных, который в 1990 году был пересмотрен. Главная цель этого закона защищать индивидуума от посягательств на неприкосновенность его частной жизни путем манипулирования его персональными данными5. Действие закона распространяется на сбор, обработку и использование персональных данных, собираемых государственными федеральными органами (в отсутствие механизмов государственного регулирования) и негосударственными учреждениями, если они обрабатывают и используют персональные данные в коммерческих или профессиональных целях. В связи с развитием телекоммуникаций в нормативные акты были внесены соответствующие дополнения и изменения (например, ст.41 Обработка и использование ПД средствами массовой информации, ст.42 Ответственность за защиту данных в федеральных телерадиокомпаниях ФЗ О защите персональных данных Германии)6.
Все 16 земель Германии имеют собственные законы о защите персональных данных, распространяющиеся на государственный сектор административного управления землями. Контроль за исполнением закона осуществляет Федеральная комиссия по защите персональных данных. Соответствующие комиссии, обеспечивающие исполнение местных законов о защите персональных данных, есть в каждой земле Германии. В частном секторе, однако, надзор осуществляется органом, указанным в законе, действующим в каждой из земель (обычно назначается комиссар по защите персональных данных). Кроме того, почти все германские законы, которые прямо или через поправки затрагивают проблему обращения с персональными данными физических лиц, содержат либо ссылки на соответствующий закон о защите персональных данных, либо специальные положения о правилах обращения с персональными данными, отражающие право на неприкосновенность частной жизни.
За последние 30 лет более чем в 20 европейских государствах были приняты нормативные акты по защите персональных данных, в которых были закреплены реальные механизмы правового регулирования оборота персональных данных7. Следует отметить, что создание нормативных актов в данной сфере шло самостоятельно наряду с развитием законодательства о защите права на неприкосновенность частной жизни.
С 1998г. в странах Европейского союза был взят курс на создание унифицированной системы защиты персональных данных. В целом можно выделить следующие общие черты национального законодательства европейских стран, регулирующего отношения, связанные со сбором, хранением, автоматической обработкой и использованием персональных данных8:
— защита персональных данных лиц от несанкционированного доступа к ним со стороны других лиц, в том числе и представителей государственных органов и служб, не имеющих на то необходимых полномочий;
— обеспечение сохранности, целостности и достоверности данных в процессе работы с ними, в том числе и при передаче по международным телекоммуникациям;
— обеспечение надлежащего правового режима этих данных при работе с ними для различных категорий субъектов персональных данных;
— обеспечение контроля за использованием персональных данных со стороны самого субъекта.
- создание специальной независимой структуры, обеспечивающей эффективный контроль за соблюдением прав субъекта персональных данных (например, Уполномоченный по защите персональных данных).
4. Рассматривая вопрос о правовом регулировании автоматизированной обработки персональных в Северной Америке, интерес вызывает, Code of Fair Information Practice, выпущенный в 1973 году Государственным Департаментом Здоровья и Образования США принципы которого были распространены на все системы обработки персональных данных9:
- не должно существовать секретных баз с персональными данными;
- должны быть определены механизмы, которые позволили бы отдельным гражданам проверить, какая информация личного характера находится в соответствующих базах данных и как она используется;
- должны быть определены методы, позволяющие отдельным гражданам предотвратить использование информации, собранной в базах персональных данных для одних целей в других целях без их согласия;
- должны быть разработаны процедуры, позволяющие индивидуумам скорректировать или отменить информацию о себе в базах с персональными данными;
- организации, создающие, хранящие или передающие третьей стороне идентифицируемые персональные данные, должны обеспечить и быть уверенными в том, что эти данные используются только для определенных целей и должны принять меры предосторожности для предотвращения злоумышленного их использования.
Впоследствии данные принципы легли в основу Акта о защите личной жизни США 1974 года, который предусматривает обязанность каждого учреждения, занимающегося ведением системы данных, по любому запросу любого физического лица предоставлять ему доступ к данным о нем, содержащимся в системе, разрешать ему, и по его просьбе, выбранному им самим сопровождающему лиц изучать данные и получать копии всех данных или любой их части в доступной его пониманию форме, а также разрешать физическому лицу обращаться с просьбами об изменении данных о нем.
Более того, согласно принятому в США Electronic Communications Privacy Act за незаконный перехват или доступ к электронной почте предусмотрена уголовная ответственность в виде тюремного заключения до одного года или штрафа до 10 000 долларов10.
Таким образом, указанные положения практически аналогичны принципам, лежащим в основе европейской системы защиты персональных данных. Тем не менее, практика защиты персональных данных в США не является безупречной, чем видимо и объясняется включение США в список стран, не обеспечивающих адекватную защиту персональных данных, соответствующий порядок предусмотрен п.4 ст.25 Директивы ЕС 95/46/ЕС11.
С практической точки зрения большой интерес вызывает Канадский Закон об охране персональной информации, который предусматривает реальные механизмы защиты персональных данных и реализации права на доступ к сведениям о себе.
В соответствии с этим актом под персональной понимается информация о конкретном индивиде, записанная в любой форме, в том числе данные о национальности, расе, цвете кожи, религии, возрасте, образовании, состоянии здоровья, финансах, личных взглядах и т.п. Под действие акта не попадает информация об индивиде, который был или является сотрудником государственного учреждения, его должности, служебном адресе и телефоне, уровне зарплаты и служебных обязанностях. Персональная информация не может быть использована без согласия индивида и помимо целей, ради которых она собиралась. В ряде случаев персональная информация может быть раскрыта, например, по решению суда, для члена парламента, который помогает этому индивиду, в целях передачи в архив, сбора статистических данных.
Каждый гражданин или постоянно проживающий в Канаде человек может получить доступ к информации о себе, содержащейся в учреждениях, и исправить ее, если считает ее неверной.
В случае возникновения спорных ситуаций граждане могут опротестовать действия властей в офисе Комиссара по защите персональной информации, который является специальным чиновником, назначаемым и ответственным перед парламентом. Он наблюдает за исполнением данного закона, т.е. за сбором, использованием и распространением государством персональной информации о клиентах и работниках, а также рассматривает жалобы.
Стоит отметить, что данная структура выполняет огромный объем работы: Комиссар ежегодно делает доклады, обрабатываются многочисленные запросы, проводятся расследования, рассмотрение жалоб, организация и проведение публичных дебатов по работе с данными, использованию номера социального страхования, воздействию биотехнологии на частную жизнь. Обращает на себя внимание тот факт, что данная работа проводится небольшим штатом сотрудников около трех десятков людей.12
Важное значение имеет тот факт, что сами канадцы уделяют большое внимание вопросам сбора, хранения и обработки персональных данных. Социологические опросы показывают высокий уровень правовой грамотности канадцев как в отношении своих прав в данной области, так и в отношении механизмов их защиты.13
Закон также возлагает на правительство ответственность за правомерность сбора, хранения и целей использования персональных данных.
Таким образом, следует отметить, что в мире имеются реальные правовые механизмы регулирования оборота и защиты персональных данных. При этом контроль за соблюдением соответствующих требований и деятельностью держателей баз данных, содержащих информацию, персонального характера, как правило, осуществляют независимые органы (уполномоченный либо комиссар по защите персональных данных).
5. В настоящее время в России в действующей российской Конституции имеется около двух десятков норм, регулирующих информационную сферу, действует более 40 федеральных законов в области информации, более 80 актов Президента России и около 200 актов Правительства РФ.14 Тем не менее, несмотря на огромное количество нормативных актов, далеко не все вопросы, возникающие в условиях перехода России к информационному обществу, урегулированы. Так, к нормативно-правовым актам в той или иной степени регулирующим оборот персональных данных, можно отнести: ФЗ РФ Об информации, информатизации и защите информации от 20 февраля 1995г. ,24-ФЗ, главу 14 Защита персональных данных Трудового кодекса РФ, принятого 30 декабря 2002г. ФЗ 197-ФЗ, Указ Президента РФ от 6 марта 1997г. 188, утверждающий Перечень сведений конфиденциального характера, а также ФЗ РФ Об индивидуальном (персонифицированном) учете в системе государственного пенсионного страхования от 1 апреля 1996г. 27-ФЗ, ФЗ РФ О защите сведений, полученных в ходе Всероссийской переписи населения от 25 января 2002 г. N 8-ФЗ.
Согласно ст.2 Федерального закона Об информации, информатизации и защите информации конфиденциальная информация — это документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.15 К конфиденциальной информации относятся персональные данные, под которыми понимаются сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность. Безусловно, данное определение нельзя назвать полным. Перечни персональных данных, включаемых в состав федеральных информационных ресурсов, информационных ресурсов совместного ведения, информационных ресурсов субъектов Российской Федерации, информационных ресурсов органов местного самоуправления, а также получаемых и собираемых негосударственными организациями, должны быть закреплены на уровне федерального закона. До настоящего времени такой закон в России отсутствует, что приводит к противоречиям в правовом регулировании. Так, согласно Указу Президента РФ от 6 марта 1997г. 188, утверждающему Перечень сведений конфиденциального характера под персональными данными понимаются сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, за исключением сведений, подлежащих распространению в средствах массовой информации в установленном законом порядке. С данным определением нельзя согласиться, так как фактически оно сужает понятие персональных данных, используемое в ФЗ Об информации, информатизации и защите информации.
Не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения.
Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено.
Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
Деятельность негосударственных организаций и частных лиц, связанная с обработкой и предоставлением пользователям персональных данных подлежит обязательному лицензированию.
Граждане и организации имеют право на доступ к документированной информации о них, на уточнение этой информации в целях обеспечения ее полноты и достоверности, имеют право знать, кто и в каких целях использует или использовал эту информацию. Ограничение доступа граждан и организаций к информации о них допустимо лишь на основаниях, предусмотренных федеральными законами.
Владелец документированной информации о гражданах обязан предоставить информацию бесплатно по требованию тех лиц, которых она касается. Ограничения возможны лишь в случаях, предусмотренных законодательством Российской Федерации.
Отказ владельца информационных ресурсов субъекту в доступе к информации о нем может быть обжалован в судебном порядке.
При этом содержание большинства федеральных баз данных находится под грифом секретно.16
Таким образом, нормы ФЗ РФ «Об информации, информатизации и защите информации» отсылают к закону О персональных данных, которого до сих пор нет. Очевидно, что нормы, содержащие понятие и режим персональных данных, закрепленные в ФЗ Об информации, информатизации и защите информации носят декларативный, отсылочный характер и не содержат конкретного правового механизма реализации прав граждан на защиту персональных данных и на доступ к информации о себе. Отсутствие полноценного закона о персональных данных приводит к противоречиям в правовом регулировании.
В настоящее время в России формируется база данных обо всех юридических лицах — единый государственный реестр юридических лиц. В соответствие с п.1 ст.6 ФЗ О государственном реестре юридических лиц от 8 августа 2001г. 129-ФЗ сведения, содержащиеся в государственном реестре, являются открытыми и общедоступными, за исключением паспортных данных физических лиц и их идентификационных номеров налогоплательщиков. Паспортные данные физических лиц и их идентификационные номера налогоплательщиков могут быть представлены исключительно по запросам органов государственной власти в соответствии с их компетенцией. Таким образом, сведения, содержащиеся в государственном реестре, доступны любым субъектам: гражданам, юридическим лицам, органам государственной власти и местного самоуправления. Данный Закон предусматривает возможность запросить любые сведения, содержащиеся в государственном реестре. Перечень таких сведений дан в приложении N 2 к Правилам ведения единого государственного реестра юридических лиц (наименование, организационно — правовая форма, адрес, место нахождения, способ образования юридического лица, сведения об учредителях юридического лица и т.д.). Исключением являются: а) паспортные данные физических лиц; б) идентификационные номера налогоплательщиков — физических лиц. Вместе с тем, ст. 84 Налогового кодекса Российской Федерации к персональным данным налогоплательщиков — физических лиц относит:
фамилия, имя, отчество;
дата и место рождения;
пол;
адрес места жительства;
данные паспорта или иного документа, удостоверяющего личность налогоплательщика;
гражданство.
Идентификационный номер налогоплательщика Налоговый кодекс не относит к сведениям, составляющим налоговую тайну (ст. 102).
ФЗ РФ Об оперативно — розыскной деятельности от 12 августа 1995 144-ФЗ предусмотрены ограничения конституционных прав граждан на тайну телефонных переговоров, переписки, почтовых, телеграфных и иных сообщений, передаваемых по сетям электрической и почтовой связи на основании судебного решения и только при наличии информации о подготовке, совершении или совершенном противоправном деянии либо о событиях или действиях, создающих угрозу государственной, военной, экономической или экологической безопасности Российской Федерации.17
Данный нормативный устанавливает исчерпывающий перечень оперативно — розыскных мероприятий и органов, осуществляющих оперативно — розыскную деятельность. Он разрешает иметь оперативно — технические силы и средства для контроля почтовых отправлений, телеграфных и иных сообщений; прослушивания телефонных переговоров с подключением к стационарной аппаратуре предприятий, учреждений и организаций независимо от форм собственности, физических и юридических лиц, предоставляющих услуги связи; снятия информации с технических каналов связи только лишь органам ФСБ и МВД, которые могут предоставлять эти силы и средства на основе специальных соглашений или межведомственных нормативных актов другим органам, осуществляющим оперативно — розыскную деятельность.
Тем не менее, механизмы защиты права на неприкосновенность частной жизни, заложенные в законодательных актах, регулирующих оперативно — розыскную деятельность государственных органов, а именно право каждого обжаловать неправомерные действия должностных лиц, право каждого на получение информации, собранной в отношении него, если не доказано судом преступление, задуманное или совершенное этим лицом, и обязанность должностных лиц предоставить такую информацию; обязанность должностных лиц структур, осуществляющих оперативно-розыскную деятельность, их вышестоящих органов, а также судов и прокуратуры принять меры по восстановлению конституционных прав граждан в случае незаконного вмешательства в их частную жизнь возместить причиненный вред; запрет органам (должностным лицам), осуществляющим оперативно-розыскную деятельность, разглашать сведения, затрагивающие неприкосновенность частной жизни, которые стали известны в процессе проведения оперативных мероприятий, без согласия граждан, за исключением случаев, предусмотренных федеральными законами, неэффективны. Во многом такая ситуация объясняется структурными проблемами правовой системы России, низким уровнем правовой грамотности населения, отсутствием у граждан информации о своих правах и механизмах их защиты, а также финансовыми трудностями большей части населения, что ограничивает доступ к квалифицированной юридической помощи.
Положительным моментом является запрещение рядом российских законов сбора и занесения в личные дела (реестры) государственных служащих (в том числе сотрудников таможенных органов) сведений об их политической, религиозной принадлежности и о частной жизни (ст.8 ФЗ РФ Об основах государственной службы и ст. 24 ФЗ РФ О службе в таможенных органах), а также появление в новом Трудовом кодексе целой главы, посвященной правовому регулированию сбора, хранения, защиты и ответственности работодателя за персональные данные работника.
Доктрина информационной безопасности РФ, утвержденная Президентом РФ 9 сентября 2000г. определяет 4 основные составляющие национальных интересов РФ в информационной сфере, в том числе соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, а также защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем.18
Согласно приведенным в этом документе данным, неудовлетворительно организована защита персональных данных, собираемых федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления.
Данная ситуация не может не вызывать опасений, особенно на фоне появившейся в России в 90-е г.г. XX в. тенденции к сращиванию государственных и криминальных структур в информационной сфере. Получение криминальными структурами доступа к конфиденциальной информации, усиление степени их влияния на жизнь общества и неразвитость институтов гражданского общества препятствуют реализации прав граждан в информационной сфере и создают угрозу национальной безопасности Российской Федерации.
Таким образом, на сегодняшний день в России сложилась парадоксальная ситуация: с одной стороны, несмотря на закрепление гарантий права граждан на доступ к информации в основополагающих международно-правовых документах, Конституции РФ и в целом ряде иных нормативных актов, реальный механизм реализации права граждан на доступ к информации, в том числе информации о них в России отсутствует, реализации данного права препятствует социально-экономический кризис; низкая правовая культура должностных лиц и граждан; недостаточный уровень компьютеризации; принятые законы не обеспечивают реальных действий по получению необходимой информации; отсутствует нормативно закрепленный механизм ответственности должностных лиц за нарушение данного права. Вместе с тем, информацию, содержащую персональные данные о гражданах, в том числе базы данных различных органов государственной власти любой желающий может практически свободно приобрести за небольшие деньги.
При этом российские граждане в полной мере не владеют информацией о том, в каких базах данных о них накапливается информация, и совершенно точно практически не имеют возможности по своему первому требованию получить эту информацию, изменить или исключить ее из свободного доступа.
В последние годы в России создано так называемое управление Р, в задачи которого входят:
- Борьба с преступлениями в сфере телекоммуникаций, доступ к услугам и ресурсам связи, в том числе сотовой, международной и междугородной.
- Борьба с компьютерными преступлениями (неправомерный доступ к охраняемой законом компьютерной информации, создание и использование вредоносных программ для ЭВМ, нарушение эксплуатации ЭВМ); борьба с незаконным оборотом радиоэлектронных и специальных технических средств).
- Борьба с распространением контрафактной продукции и нарушениями действующего законодательства в области авторских прав.
Реальную картину состояния защищенности информации, содержащей персональные данные, иллюстрирует тот факт, что один из дисков, изъятых сотрудниками подразделения Р Пермской области содержал засекреченные данные о сотрудниках регионального УВД, которых не было в базе данных ГУВД, в том числе, с личным телефоном и адресом самого начальника ГУВД.19
В последнее время на черном рынке информации персонального характера увеличилось количество баз данных частных структур. В 2003г. в продаже появилась база данных абонентов одного из лидеров российского рынка операторов сотовой связи «Мобильных ТелеСистем». База данных содержит такие персональные сведения об абонентах компании как: фамилия, имя, отчество, дата рождения, паспортные данные, адрес места жительства, индивидуальный номер налогоплательщика, юридический адрес, контактный телефон (не мобильный), дата подписания контракта с МТС, прошедшие платежи. Система поиска позволяет за несколько секунд получить полный список абонентов МТС, являющихся работниками того или иного предприятия. Абонентами МТС являются более 5 млн. человек. 20
При этом информация о появлении данного диска на черном рынке в течении нескольких недель распространялась через Интернет. Соответствующие органы среагировать не успели или не смогли, однако журналисты одной российской газеты спокойно приобрели указанные диски в метро за 450 рублей.
Специалисты службы МТС, занимающейся защитой информации, провели собственное расследование. Отследить путь утечки информации не удалось. Стоит отметить, что информация о базе данных сотового оператора появляется в свободном доступе не первый раз, несколько лет назад подобный инцидент произошел с базой данных другого российского оператора сотовой связи Би Лайн.
Практически одновременно стало известно о самой масштабной утечке конфиденциальной информации. В Санкт-Петербурге в продажу поступила комбинированная база данных об абонентах крупнейших телефонных компаний города, в которой содержатся личные данные миллионов петербуржцев: адреса, номера паспортов, сотовых и домашних телефонов. Кроме того, на трех дисках содержится информация по состоянию на конец 2002 года обо всех абонентах Северо-Западного филиала ОАО «Мегафон» (1,3 млн записей), «Телекома XXI» (контролируется «Мобильными телесистемами» и работает под этой торговой маркой; 500 тыс.), «Дельты Телеком» (120 тыс. записей), FORA Communications (15 тыс. записей), а также «Северо-Западного Телекома» и «Петерстара» ( 2,5 млн. записей). Стоимость указанной базы данных составляет всего 1650 рублей.21
В офисах пострадавших компаний считают, что информация была украдена централизованно, через одну из правоохранительных структур.
Как правило, связаться с лицами, реализующие базы данных, содержащих персональные данные, можно с помощью контактного телефона или e-mail.
Следует отметить, что в условиях российской действительности доступ к личной информации абонентов предоставляется широкому кругу лиц — от сотрудников службы поддержки до корпоративных клиентов и компетентных органов.
В обоих случаях наибольшее распространение получила версия, согласно которой утечка информации произошла при участии спецслужб. Так как инцидент произошел после событий на Дубровке, сотовые операторы отключили на своих сетях функцию шифрования разговоров и открыли спецслужбам доступ к своей базе данных. (Во время событий на Дубровке для перехвата переговоров террористов и заложников рядом с театральным центром находилась машина радиоразведки. Другая группа сотрудников спецслужб, дежурившая в офисах сотовых операторов, должна была быстро дать информацию о разговаривающем абоненте. Оператор по закону обязан предоставлять информацию из баз данных компетентным органам в согласованном порядке.)22
Вместе с тем, в Новосибирске прокуратурой было возбуждено уголовное дело в отношении одного из менеджеров компании сотовой связи «Сибирские сотовые системы-900» (провайдер сети МТС)23. Он обвиняется в разглашении сведений об абонентах. Информация касалась только номеров, по которым звонили абоненты, и продолжительности разговоров, но и эти сведения являются закрытыми. Обвиняемый был вычислен в ходе расследования, проведенного сотрудниками службы безопасности самой сотовой компании, которые и обратились в правоохранительные органы. Дело возбуждено по статье Нарушение тайны переписки и телефонных переговоров (ч. 2 ст. 138 УК РФ), которая предполагает крупный штраф или арест на срок от двух до четырех месяцев.
В целом на российском черном рынке информации персонального характера доступны различные базы данных, держателями которых являются как государственные органы, так и частные структуры. Указанные базы содержат информацию, как о физических, так и о юридических лицах, включая внутренние корпоративные адреса и персональные данные сотрудников (Приложение).
С другой стороны, в условиях новых глобальных угроз, даже демократические государства, имеющие четкие правовые регуляторы защиты персональных данных, все чаще прибегают к различным способам предотвращения и выявления возможной опасности, которые, тем не менее, напрямую связаны с доступом к персональным данным граждан. Так, в прессе активно обсуждалось использование в США специальной программы Carnivore, позволяющей ФБР перехватывать и отслеживать электронную почту интересующих эту организацию лиц. Известность получили попытки принудить некоторых интернет-провайдеров установить определенные элементы упомянутой программы на своих серверах. При этом никакие лица со стороны (включая самого провайдера) не могли проконтролировать, как осуществляется доступ к собранным данным. В 2000 году в Великобритании был принят закон, дающий право соответствующим государственным органам при определенных условиях требовать у провайдеров предоставления журналов сетевого трафика и перехватывать пересылаемые сообщения. Обнародованы планы Правительства Великобритании установить обязанность компаний, занимающихся бизнесом с использованием Интернета, фиксировать деятельность их клиентов в Интернете, чтобы уполномоченные государственные органы могли при желании получить доступ к этим записям.24 В последнее время в российской прессе появилась информация о том, что российские компетентные органы в состоянии отслеживать SMS-сообщения граждан.25 Данная информация была впоследствии опровергнута должностными лицами, которые утверждают, что проверка SMS-сообщения граждан дело технически сложное и экономически затратное, а кроме того, отсутствует санкция суда на проведение таких мероприятий. Вместе с тем, у правоохранительных органов нет проблем по снятию кодировки звонков с сотовых телефонов. Операторы сотовой связи ставятся заранее в известность, а на аппарате абонента в этом случае появляется специальный символ. Таким образом, представляется, что при необходимости и наличии соответствующей санкции, правоохранительные органы могут получить доступ и к SMS-сообщениям граждан.
6.Таким образом, закрепленные в Конституции Российской Федерации права граждан на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки практически не имеют достаточного правового, организационного и технического обеспечения.
Неудовлетворительно организована защита собираемых федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления данных о физических лицах (персональных данных).
Нет четкой концепции формирования российского информационного пространства и перехода к информационному обществу.
Появилась информация, что результаты прошедшей в 2002г. в России переписи населения, которые еще полностью официально не опубликованы, уже доступны на черном рынке информации, например, персональное предвыборное сообщение, пришло на адрес гражданина, по которому он случайно находился во время переписи.26
Недостаточно разработана нормативно-правовая база, регулирующая информационные отношения в целом и оборот персональных данных в частности. Так, уже в течение нескольких лет в Государственной Думе РФ обсуждаются различные проекты Закона РФ О персональных данных, но законодатели до сих пор не могут принять соответствующий закон.
Статья 272 Уголовного кодекса РФ предусматривает ответственность за неправомерный доступ к компьютерной информации. Однако, применение данной нормы, ограничено не только правовой, но и практической неразработанностью вопросов, связанных с использованием и охраной компьютерной информации. Так, отсутствие единого терминологического понятия персональные данные создает проблемы его применения в криминалистической деятельности при расследовании преступлений, связанных с неправомерным доступом к компьютерной информации27.
Необходимо дальнейшее совершенствование механизмов защиты персональных данных, находящихся в распоряжении федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и др.
Информация, содержащая персональные данные, должна иметь гарантированный уровень правовой, организационно-технической защиты независимо от того в базе данных государственной или частной организации она находится.
Кроме того, проблема защиты персональных данных связана со степенью развитости институтов гражданского общества. К сожалению, в России низкий уровень развития подобных институтов, низкая правовая культура граждан, даже в определенной степени правовой нигилизм, а также недостаточный уровень активности граждан и большая степень закрытости власти. Именно поэтому вопросы защиты персональных данных, как впрочем, и многие другие, обсуждаются и прорабатываются сравнительно небольшой группой специалистов и правозащитных организаций, при этом сами граждане либо не считают эти вопросы значимыми, либо, чаще всего, просто не знают о наличии своих прав, их нарушениях и о том, как можно их защитить. При этом ущерб при неправомерном доступе и распространении информации о персональных данных наносится, в первую очередь, интересам самих граждан.
Таким образом, наряду с правовыми и организационно-техническими мероприятиями, необходимо повышать степень открытости власти и уровень информированности граждан о своих правах, законных интересах и о методах их защиты.
ПРИЛОЖЕНИЕ 1
Название базы данных |
| количество дисков | Объем | цена |
Автотранспорт Москвы БД ГАИ по зарегистрированным в Москве автотранспортным средствам и их владельцам. Содержит полный набор сведений по автомобилю (гос. номер, N кузова, двигателя, VIN, марка, модель и т.д.), его владельцу (ФИО, дата рождения, прописка, N паспорта) и документам (ПТС, свидетельство о регистрации, справка-счет, талон ТО). | 2003 | 2 | 2,5 Гб | 500р. |
Автотранспорт Московской области | 2003 | 2 | 1,43 Гб | 500р |
ВЭД (внешне экономическая деятельность) Уникальная база данных, самая новая из имеющихся в наличии. Представляет часть общей базы данных по всей России. В базе содержится информация по всем номерам Московского региона и большинству крупных предприятий России! Также присутствует некоторая часть «закрытых» номеров, не зарегистрированных даже в самой базе данных МГТС. Поиск данных по номеру телефона, адресу, ФИО абонента и названию организации. | 2003 | 2 | 4,55 Гб | 500р. |
Прописка московской области | 2003 | 2 | 430 Мб | 400р. |
Прописка Москва |
| 1 | 1,2 ГБ | 500р. |
База жителей Московского региона содержит информацию по ФИО, дату рождения, место рождения, место проживания, серия и номер паспорта, когда и кем выдан, подразделение УВИР, цель получения, решение. | 2003 | 1 | 541 Mb | 400р. |
Водительские удостоверения Москва Содержит сведения о владельце: Ф.И.О., адрес, дата рождения, серия и номер удостоверения, нарушения ПДД: кем, Когда, за что задержан, принятые меры. | 2003 | 1 | 611мб | 500р. |
Водительские удостоверения Московской Области. Содержит сведения о владельце: Ф.И.О., адрес, дата рождения, серия и номер удостоверения, нарушения ПДД: кем, Когда, за что задержан, принятые меры. | 2003 | 1 | 269мб | 500р. |
Нарушения ПДД МО Содержит сведения о владельце: Ф.И.О., адрес, дата рождения, серия и номер удостоверения, нарушения ПДД: кем, Когда, за что задержан, принятые меры. | 2003 | 1 | 208мб | 500р. |
ДТП Москва База Дорожно Транспортных Происшествий содержит информацию по ДТП, совершенным в Москве и Московском регионе. Подробная информацию о том, кем и когда совершено ДТП, основание задержания, принятые меры, вид ДТП, схема, количество ТС, количество участников и нарушения ПДД. Так же база содержит полную информацию об автомобилях и водителях, участвовавших в ДТП. | 2003 | 1 | 269мб | 500р |
ДТП (ПОСТРАДАВШИЕ) Москва Полная информация о пострадавших в результате ДТП. | 2003 | 1 | 33Мб | 500р. |
Угоны Москва База данных по угнанным автомобилям России. | 2002 | 1 | 206Мб | 500р. |
МЛП (московская лицензионная палата) БД лицензий.Номер лицензии название орг-ии , адрес , дата регистрации, срок действия лицензии и мн. др. | 2003 | 1 | 240Мб | 400р. |
ЕГРПО БД зарегистрированных Предприятий всей России. Содержит информацию по предприятиям зарегистрированных Гос. Рег. палатой. Позволяет искать по следующим параметрам : Наименование орг. , ОКПО, ОКАТО, ОКОГУ, ОКОПФ и мн. др. | 2003 | 3 | 3 Гб | 500р. |
БТИ(приватизированные квартиры г. Москвы) Квартиры г. Москвы и их собственники. Содержит сведения БТИ (общая и жилая площадь квартиры, год постройки дома, этажность, материал стен, принадлежность) а также информацию по собственникам (ФИО, дата рождения, паспортные данные, вид собственности, процент, документ-основание, его номер в КМЖ, даты заключения и окончания договора). Возможность поиска предыдущих владельцев квартир. Windows 95/98/Me/2000/XP (Cronos) | 2003 | 1 | 1,22 Гб | 400р. |
Розыск 2003 В БД «Розыск 2003» содержатся следующие БД: Розыск угнанного автомобиля,Поиск похищенной спецпродукции,Федеральный розыск лиц. | 2003 | 1 | 775 Мб | 400р. |
ЕГТС 2002 База данных единой городской телефоной сети. В базе содержится информация по всем телефонным номерам Москвы и Московского региона. Также присутствует некоторая часть «закрытых» номеров, не зарегистрированных даже в самой базе данных МГТС и некоторые телефоны Билайна. Выдает информацию о владельце телефона о пользователе о типе и адресе АТС ,о рекламе дающейся на этот телефон, сведения по техническим операциям владельца. Поиск данных по номеру телефона, адресу, ФИО абонента и названию организации. | 2002 | 3 | 3,6 Гб | 500p. |
МТС (сотовая связь МТС) БД мобильных телефонов МТС Московского региона (коды 902, 910, 916). В БД МТС входят все номера (прямые, федеральные) кроме номеров нового тарифного плана «Джинс».База имеет четыре диалоговых окна для задания параметров поиска: |
| 1 | 1 Гб | 500р. |
МГТС 2003 Уникальная база данных. Представляет часть общей базы данных по всей России. В базе содержится информация по всем номерам Московского региона и большинству крупных предприятий России! Также присутствует некоторая часть «закрытых» номеров, не зарегистрированных даже в самой базе данных МГТС. Поиск данных по номеру телефона, адресу, ФИО абонента и названию организации. | 2003 | 1 | 3 Гб | 500р |
Московская Регистрационная Палата Сведения по юридическим лицам и частным предпринимателям г. Москвы: наименование, ИНН, регистрационный номер, дата регистрации, юридические и фактические адреса, банковские счета, учредители физические и юридические лица с паспортными данными и реквизитами, коды ОКПО, ОКОНХ, ФИО руководителя, телефоны и т.д. Полная история изменений!. | 2003 | 1 | 1,16 Гб | 500р |
Московская Областная Регистрационная Палата Сведения по юридическим лицам и частным предпринимателям г. Москвы: наименование, ИНН, регистрационный номер, дата регистрации, юридические и фактические адреса, банковские счета, учредители физические и юридические лица с паспортными данными и реквизитами, коды ОКПО, ОКОНХ, ФИО руководителя, телефоны и т.д. Полная история изменений!. | 2003 | 1 | 280Мб | 500р |
МОСКОМЗЕМ | 2003 | 1 | 12 Мб | 200р. |
Антикриминал В состав пакета «Антикриминал» входят следующие БД: Розыск-Судимость, Угоны, Похищенные документы и спец-продукция, ЧОПы (подробные сведения о ЧОПах). | 2003 | 1 | 551 Мб | 400р |
Банки России Исчерпывающая информация по банкам России (все реквизиты, URL,Email,статьи, комментарии, досье). | 2003 | 1 | 95 Мб | 300р. |
2003 | 1 | 393 Mb | 300р. |
ПРИЛОЖЕНИЕ 2
Название | Актуализация | Характеристики | Стоимость |
Электронные адреса ФИРМ Москвы (в базе имеются внутрикорпоративные адреса) | сентябрь 2003 | Число записей 867 187 | 150 $ |
Электронные адреса ФИРМ России и СНГ (включает в себя электронные адреса фирм Москвы) | сентябрь 2003 | Число записей 1 514 943 | 200 $ |
База данных Частных лиц Москвы и Московской области | август 2003 | Число записей 1 126 486 | 150 $ |
База данных Частных лиц России и СНГ (включает в себя электронные адреса фирм частных лиц Москвы и Московской области) | август 2003 | Число записей 12.000.000 | 200 $ |
Super Mailer 3.41 Программа для рассылки информации по электронным адресам. | август 2003 | 150 $ | |
База>данных>МТС (Мобильные Телесистемы). Мобильные телефоны МТС Московского региона (коды 902, 910, 916). Все номера (прямые, федеральные) кроме номеров нового тарифного плана | 10 октября 2002 | Объём: 1 Гб. Операционная система: Windows 95/98/ME/2000/NT/XP — | 550 руб. |
База>данных>МГТС — самая новая из имеющихся в наличии. Представляет часть |
Январь 2003год. | Объем: 3 Гб. Операционная система: Windows 95/98/Me. |
550 руб. |
База данных МГТС. В отличие от многочисленных скомпилированных версий телефонных справочников | август 2002 года | Число записей Объем: 620 Мб. Операционная система: Windows | 450 руб. |
ВЭД. Наиболее полная и подробная база данным по экспортно-импортным операциям, произведенным в России в период 2003 года. Информация: о покупателе, поставщике, коде товара по ТН ВЭД (кроме продукции стратегического назначения), количестве, массе, стоимости, дате сделки, банках обслуживающих сделку, таможенном терминале и т. д. (около 100 полей декларации). Поиск информации по всем полям декларации. |
25 октября 2003 года. | Число записей 5 442 574 Объем: 4 Гб. 3 CD. Операционная система: Windows 95/98/Me/NT/2000/XP | 1400 руб. |
ЕДИНЫЙ ГОСУДАРСТВЕННЫЙ РЕЕСТР ПРЕДПРИЯТИЙ РФ. Сведения по юридическим лицам и частным предпринимателям РФ: наименование, ИНН, регистрационный номер, дата регистрации, юридические и фактические адреса, банковские счета, учредители физические и юридические лица, коды ОКПО, ОКОНХ, фамилия, имя, отчество руководителя, телефоны и т.д. | март 2003 года | Объем: 1,5 Гб. 1 CD. Операционная система: Windows 95/98/Me/NT/2000/XP | 1200 руб. |
БАНКИ РОССИИ. Самая полная и эксклюзивная база данных по Банкам России (включает информацию по: филиалам, регистрационные данные банков, учредители, акционеры, балансы, отчет о прибылях и убытках, кор. счета и МБК, нормативы, заемщики и рисковые заемщики, данные приложений к Инструкции ЦБ 17, финансовые показатели, эмиссии, различная дополнительная информация).. | сентябрь 2003 года | 1 CD. Операционная система: Windows 95/98/Me/NT/2000/XP | 3000 руб. |
АВТОТРАНСПОРТ МОСКВЫ. Включает 4 базы данных: ГАИ Москвы, Водительские удостоверения, ДТП, ДТП (пострадавшие лица). База данных ГАИ содержит полный набор сведений по автомобилю (гос. номер, кузова, двигателя, VIN, марка, модель и т.д.), его владельцу (ФИО, дата рождения, прописка, паспорта) и документам (ПТС, свидетельство о регистрации, справка-счет, талон ТО). | 27 сентября 2003 года | Число записей более 12 млн. Объем: 2,8 Гб. 2 CD. Операционная система: Windows 95/98/Me/NT/2000/XP. | 1200 руб. |
АВТОТРАНСПОРТ МОСКОВСКОЙ ОБЛАСТИ Включает базу данных ГАИ Московской области (май 2003) и базу данных по водительским удостоверениям (март 2003). | 22 мая 2003 года | Число записей 9 127 011 Объем: 3 Гб. 2 CD. Операционная система: Windows 95/98/Me/NT/2000/XP. | 1200 руб. |
БТИ. Квартиры г. Москвы и их собственники. Содержит сведения БТИ (общая и жилая площадь квартиры, год постройки дома, этажность, материал стен, принадлежность) а также информацию по собственникам (ФИО, дата рождения, паспортные данные, вид собственности, процент, документ-основание, его номер, даты заключения и окончания договора). Возможность поиска предыдущих владельцев квартир.. | 5 сентября 2003 года. | Число записей 10 443 278 Объем: 1 Гб. 1 CD. Операционная система: Windows 95/98/Me/NT/2000/XP | 1000 руб. |
АНТИКРИМИНАЛ РФ. Базы данных: Розыск, Угоны, Похищенные документы, Сводки ГУВД РФ 1993 — август 2003. | октябрь 2003 года | Объем: 1,5 Гб. 2 CD. Операционная система: Windows 95/98/Me/NT/2000/XP | 1000 руб. |
МГТС. Содержит подробную и достоверную информацию по телефонным номерам частных и юридических лиц Московского региона, не издававшуюся с 1994 года. Включает данные по владельцу телефона, проживающим лицам (ФИО, дата рождения, пол), адресу фактической установки, дате подключения и отключения, изменению адресов установки, смене владельцев, связанным телефонным номерам, и т.д. | февраль 2003 года | Объем: 4 Гб. 2 CD. Операционная система: Windows 95/98/Me/NT/2000/XP. | 1200 руб. |
База данных по физическим лицам г .Москвы. Информация по прописке (ФИО, адрес, дата рождения, пол) физических лиц Москвы. | сентябрь 2002 года. | Число записей около 14 млн. Объем: 3,7 Гб. 1 CD. Операционная система: Windows 95/98/Me/NT/2000/XP. | 1000 руб. |
База данных по физическим лицам Московской области. | февраль 2003 года | Число записей более 6,2 млн. Объем: 1,2 Гб. 1 CD. Операционная система: Windows 95/98/Me/NT/2000/XP. | 1000 руб. |
База данных водительских удостоверений г.Москвы | 18 января 2003 года | 450 руб. | |
База данных МосКомЗем | 10 августа 2001 года. | Число записей 79 610 | 200 руб. |
База данных ДТП (включая информацию о пострадавших) | марта 2003 года | Число записей 413 030 | 45450 руб. |