 |
Информацией персонального характера располагают самые разные организации, в которых россияне вольно или невольно "наследили". Для того чтобы попасть в первую в своей жизни базу данных — ЗАГСа, достаточно просто родиться. После этого едва ли не каждый поворот судьбы среднестатистического гражданина России сопровождается нарастающим валом записей о нем во всевозможных архивах. Поликлиники, школы, паспортные столы, военкоматы, ОВИРы, ГИБДД, телефонные компании, налоговые службы, пенсионные фонды — все эти организации собирают о жителях России подробную информацию, которая, как показывает практика, вполне может быть использована и не по прямому назначению. Примеров множество. В свободной продаже можно легко найти, скажем, базы ГИБДД и сотовых компаний, а также гораздо более деликатные данные, которыми по идее должны располагать исключительно налоговики или таможенники.
Правила работы с персональной информацией уже прописаны в ряде законов и внутриведомственных инструкций (см. "Историю вопроса"). Но эти нормы весьма разрозненны, а единого госоргана, занимающегося учетом всех массивов персональных данных и контролирующего порядок их использования, попросту нет. Поэтому авторы нового законопроекта решили выработать общие требования к работе с персональной информацией, выполнять которые должны будут все, кто имеет к ней доступ: от сельских библиотекарей до членов Центризбиркома.
Правила
Условия работы с персональными данными прописаны в проекте достаточно жестко. Эта информация должна собираться лишь "для точно определенных, объявленных и законных целей" и "не быть избыточной в отношении этих целей". Другими словами, в поликлинике у вас не должны требовать данные о доходах, а в налоговой службе — о наличии хронических заболеваний. Хранить персональные данные можно не дольше, чем требуют цели, для которых они собирались. Если, к примеру, вы перестали быть клиентом телефонной компании, вся информация о вас из ее базы должна быть удалена.
Персональные данные относятся к разряду конфиденциальной информации и должны защищаться от несанкционированного доступа. Иногда режим конфиденциальности может быть снят — например, по желанию субъекта или после 75 лет хранения (если иной срок не предусмотрен законом или требованиями субъекта). Правда, к информации, собранной правоохранительными органами, это не относится, так что добиться рассекречивания материалов собственного уголовного дела заинтересованному гражданину вряд ли удастся.
Особый режим может устанавливаться и для тех, кто уже попал или только пытается попасть в высшие эшелоны власти. Прежде всего речь идет о предвыборных кампаниях. Кандидаты обязаны предоставлять избиркомам для публикации ряд сведений персонального характера, "имеющих общественную значимость" (в частности, о своих доходах и имуществе).
Впрочем, информация о простых гражданах также может быть переведена в общедоступный режим — например, для составления библиографических справочников, телефонных и адресных книг. Но возможно это, только если сам гражданин дал письменное согласие или его данные были получены из открытых источников. В последнем случае держатель данных обязан проинформировать субъекта о содержании информации, источниках ее получения и цели использования. И если он не захочет, чтобы его данные стали общедоступными, держатель обязан исключить их из общедоступного массива независимо от того, идет ли речь о списке постоянных клиентов ресторана или о многотомном телефонном справочнике.
В особую категорию персональных данных авторы выделяют информацию об этническом происхождении, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, а также о состоянии здоровья и сексуальных наклонностях. Собирать, хранить и использовать такого рода данные "исключительно в целях выявления этих факторов" запрещается. То есть если кто-то захочет ради спортивного интереса выяснить, сколько в России негров, баптистов или гомосексуалистов, это будет незаконно.
Правда, и из этого правила есть исключения. Так, запрет не действует, если на использование персональных данных есть "явное согласие", а также если это необходимо "для защиты жизненно важных интересов" кого-либо (в том числе и "в целях превентивной медицины"). Другими словами, если выяснить число гомосексуалистов нужно не просто так, а для борьбы со СПИДом, то такое исследование будет вполне законным. Не нарушат закон и руководители "специальной некоммерческой организации", проводящие исследования на упомянутые темы среди своих членов. Поэтому если изучением религиозных или философских убеждений баптистов займется сама баптистская церковь, никаких претензий к ней власти предъявить не смогут.
Контроль
Авторы проекта предлагают создать систему госконтроля за сбором и обработкой персональной информации. Этим должен будет заниматься уполномоченный орган по персональным данным, который "назначается из действующих органов государственной власти правительством РФ". Он будет выдавать лицензии на работу с персональными данными, вести учет и регистрацию массивов персональной информации, а также давать справки физическим и юридическим лицам.
Федеральные и региональные органы госвласти, а также органы местного самоуправления смогут стать держателями персональной информации, если это входит в их компетенцию. А вот юридические лица будут допускаться к этой работе лишь с разрешения федерального правительства. При этом в лицензии будут указаны не только цели сбора информации и сроки ее хранения, но и лица, "непосредственно ответственные за работу с персональными данными", а любое нарушение условий лицензии станет основанием для ее отзыва.
Предусмотрели авторы закона и сложные, но распространенные ситуации, когда информация неоднократно передается от одного источника другому и установить, откуда произошла утечка, невозможно. Согласно проекту, ответственность (вплоть до лишения лицензии) будет нести "каждый держатель этих данных". Что же касается самих неправомерно собранных данных, то их необходимо будет уничтожить в течение трех дней.
Остается добавить, что все перечни персональных данных будут регистрироваться в уполномоченном органе и заноситься в особый госреестр. Он должен ежегодно публиковаться в общероссийских СМИ тиражом не менее 100 тыс. экземпляров. Так что каждый россиянин, обнаруживший сведения о себе в одной из государственных или частных баз данных, легко сможет выяснить, на законном ли основании они были собраны.
ДМИТРИЙ КАМЫШЕВ
 Статья 5. Правовые основания осуществления работы с персональными данными Работа с персональными данными может осуществляться держателем (обладателем) массива персональных данных только в случаях: — если субъект персональных данных недвусмысленно дал свое согласие на ее проведение; — если она необходима для выполнения федеральными органами государственной власти, органами государственной власти субъектов РФ, органами местного самоуправления своей компетенции, установленной действующим законодательством; — если она нужна для достижения законных интересов держателей (обладателей) или третьей стороны, которой раскрыты персональные данные, имеющей лицензию на проведение работ с персональными данными, когда реализация этих интересов не препятствует осуществлению прав и свобод субъектов персональных данных применительно к обработке персональных данных; — когда она необходима для защиты жизненных интересов субъекта персональных данных; — когда она необходима для исполнения договора, в котором субъект персональных данных является стороной, или для принятия требуемых мер до заключения договора по просьбе субъекта; — если она необходима для осуществления задач правоохранительных органов на законных основаниях. Цифра закона $50 млн составляет, по оценкам экспертов, ежегодный оборот в сфере незаконной торговли базами данных в России. История вопроса Базовые нормы, касающиеся работы с информацией персонального характера, заложены в Конституции. Статьи 22, 23 и 29 провозглашают право на неприкосновенность частной жизни, личную и семейную тайны, а также содержат запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия. В 1995 году в развитие этих норм был принят закон "Об информации, информатизации и защите информации", в котором дано определение термина "персональные данные" и заложены основные принципы правового регулирования деятельности, связанной с ними. В частности, введена ответственность за нарушение конфиденциальности; негосударственные организации и частные лица должны получать лицензию на деятельность, связанную с обработкой и предоставлением персональных данных. Отдельные вопросы регулируются в законодательстве о выборах, в законах "Об оперативно-разыскной деятельности", "О средствах массовой информации", "О милиции" и т. д. Но все эти нормы, по мнению разработчиков законопроекта "Об информации персонального характера", требуют конкретизации. Мировая практика Первый закон о защите данных, устанавливавший правила хранения и предоставления информации о гражданах, был принят в ФРГ, в федеральной земле Гессен, в 1970 году. Затем эта практика распространилась по всему миру. Обязательства государства в этой области были закреплены в различных международных документах, например в Конвенции по защите прав граждан (1981 год) и Рекомендации ОЭСР. Эти положения определяют персональную информацию как данные, которые нуждаются в защите на каждом этапе — от сбора до хранения и распространения. Гарантируется и право граждан на доступ к своим данным. Во всех документах считается, что персональная информация должна быть получена честным и законным путем, использоваться только для заранее определенных целей, соответствовать задаче, ради которой собиралась. После достижения цели данные должны быть уничтожены. Нарушения таких законов часто становятся поводом для громких скандалов. В США несколько компаний, в том числе компьютерные фирмы Amazon.com и DoubleClick, были уличены в том, что продавали информацию о клиентах рекламным компаниям. В Великобритании в январе этого года разразился громкий скандал, связанный с тем, что сотрудники налоговой службы незаконно изучали декларации о доходах известных бизнесменов и представителей шоу-бизнеса. Кроме того, выяснилось, что данные, собираемые службой, продавались другим организациям и частным лицам. В Японии силы национальной самообороны собирали информацию о людях, хотя бы раз обратившихся в пресс-службу или затребовавших данные у военного ведомства в соответствии с законом о свободе информации. Военные хранили не только имена, адреса и даты рождения этих людей, но и готовили досье об их личных качествах и интересах. Когда все это выяснилось, военным пришлось извиниться и уничтожить большую часть досье. В Германии сотрудников Lufthansa в минувшем году уличили в том, что они не сумели сохранить конфиденциальную информацию о клиентах, часто пользующихся первым классом. В нарушение местных законов они наняли заключенных одной из немецких тюрем для работы с информацией. Те, естественно, принялись создавать собственные базы данных и продавать их.
Константин Ветров, председатель комитета Госдумы по информационной политике Правовое регулирование работы с персональными данными необходимо для обеспечения прав и свобод личности. Это особенно важно в условиях, когда широкомасштабное применение средств вычислительной техники позволяет сделать личную жизнь граждан прозрачной для государственных органов. Наш проект призван способствовать утверждению в обществе уважения к личности и ее достоинству, а также защите прав и интересов человека и гражданина — в частности, права на неприкосновенность частной жизни. Кроме того, принятие такого закона необходимо и для успешной интеграции России в Европу. Подобные законы существуют более чем в 20 странах мира, и вопросы взаимодействия европейских стран в области работы с персональными данными требуют унифицированного решения.
Алексей Московский, заместитель министра обороны У любого светофора вы сразу заметите молодых ребят, снующих между машинами и продающих диски с содержимым баз данных, относящихся к компетенции ГИБДД, МВД, Минсвязи, Госкомстата, Регистрационной палаты, налоговой службы, таможни и многих других ведомств. В этих базах можно найти практически все: финансовую отчетность, информацию о собственниках квартир, телефонные номера. Понятно, что это результат несанкционированного доступа к информации. Понятно также, что утечка персональной информации может очень дорого обойтись ее владельцу. Поэтому закон "Об информации персонального характера", конечно, необходим. При этом не меньшее внимание нужно уделять техническим мерам защиты информации, разработкой которых мы сейчас и занимаемся.
Николай Комлев, исполнительный директор Ассоциации предприятий компьютерных и информационных технологий Я думаю, нет необходимости доказывать, что жесткий контроль за использованием информации частного характера необходим в любом цивилизованном государстве. Удивительно, что в России только сейчас этот вопрос дошел до обсуждения на государственном уровне. Но каким бы отрадным ни был этот факт, в законопроекте недостаточно проработан ряд ключевых моментов. Например, слабо отрегулирован вопрос ответственности за несанкционированное использование информации частного характера: кто и как должен отвечать, если ваши личные данные были использованы без вашего разрешения. Взять хотя бы телефонные справочники. В проекте не оговорено, кто должен выступать в роли ответчика, если ваши координаты без вашего согласия указаны в них. Самые громкие кражи баз данных В середине 1990-х годов в Москве появились первые компакт-диски с телефонными базами МГТС. МВД и ФСБ не удалось установить, каким образом многомиллионный перечень абонентов с их адресами и телефонами стал общедоступен. Теперь узнать домашние адреса москвичей и жителей некоторых других городов можно на многочисленных сайтах в интернете. В 1996 году произошла первая утечка базы сотовых телефонов — в продаже появились списки абонентов "Би Лайна". В компании до сих пор отказываются говорить, каким образом это случилось, но подчеркивают, что виновные были наказаны. В начале 2000 года ФАПСИ обнаружило сайт с домашним телефоном, адресом и прочими сведениями о личности и семье Владимира Путина. Сайт располагался на сервере в США. ФАПСИ не смогло самостоятельно его ликвидировать и обратилось за помощью к ФБР, где незадолго до этого была создана "виртуальная полиция". Уже 14 сентября сайт был уничтожен. В октябре 2002 года сразу после завершения Всероссийской переписи населения в СМИ появилась информация о том, что компакт-диски с данными переписи вот-вот должны появиться на московских рынках. Госкомстат опроверг сведения об утечке. Его председатель Владимир Соколин заявил, что готов "заплатить $1000 за любой такой диск". Вскоре диски действительно стали продаваться — по $150 за штуку. Расследование утечки не проводилось. В конце ноября 2002 года, по данным СМИ, в Москве появился первый тираж дисков с абонентской базой МТС. В январе 2003 года вышло исправленное и дополненное второе издание. Большой тираж позволил снизить цену на диски до $10. Продукт появился в большом количестве торговых точек, и факт кражи данных заметила широкая общественность. В МТС заявили, что служба безопасности компании начала расследование. Некоторые СМИ предположили, что утечка произошла из компетентных органов, которым компания поставляет данные о своих абонентах. Но эту информацию в МТС опровергли. Никаких последствий для оператора рассекречивание не имело: ни один абонент до сих пор не обратился в суд. 20 мая 2003 года стало известно, что в свободную продажу поступила комбинированная база данных об абонентах всех крупнейших телефонных компаний Петербурга. Комплект из трех дисков, содержащих личные данные абонентов филиала ОАО "Мегафон", компаний "Телеком XXI" (торговая марка МТС), "Дельта Телеком", FORA Communications, "Северо-Западный Телеком" и "Петерстар", можно было купить за 1650 руб. В офисах пострадавших компаний заявили, что информация была украдена централизованно через одну из правоохранительных структур. Базы данных, предлагающиеся на рынке Госструктуры и частные компании пока не в состоянии обеспечить сохранность своих баз данных. Многие из них можно купить на любом компьютерном рынке или в интернете. Базы правоохранительных органов "Автотранспорт Москвы". Официальные данные ГИБДД на март 2003 года. 2 855 707 записей. Содержит данные по автомобилю (модель, цвет, VIN, номера шасси, кузова и проч., госномер), дату постановки на учет, ФИО, телефон и адрес владельца. "Автотранспорт Московской области". Официальные данные ГИБДД на март 2003 года. 5 454 449 записей. Содержит тот же набор сведений, что и база "Автотранспорт Москвы". "Водительские удостоверения Москвы". Официальные данные ГИБДД на март 2003 года. 5 699 400 записей. Содержит ФИО, адрес, телефон владельца водительского удостоверения, его номер, данные об изъятии прав с указанием причин и срока. "Водительские удостоверения Московской области". Официальные данные на март 2003 года. 1 735 336 записей. Те же данные, что и в базе "Водительские удостоверения Москвы". "Административные правонарушения в г. Москве". Официальные данные ГУВД Москвы. 1 214 183 записи. Сведения о ФИО нарушителя, месте совершения правонарушения, мере административной ответственности. "ДТП по Москве и Московской области". Официальные данные ГИБДД на январь 2003 года. Данные об участвовавших в ДТП автомобилях и их владельцах, месте и дате ДТП, его последствиях. "Пострадавшие при ДТП по Москве и Московской области". Официальные данные ГИБДД на январь 2003 года. 241 569 записей. Данные на жертв ДТП (ФИО, место и дата происшествия, последствия и т. д.). "Федеральный розыск лиц, спецпродукции, документов". Официальные данные Главного информационного центра МВД, Главного управления ГИБДД, зональных информационных центров на февраль 2003 года. Содержит ФИО, паспортные и другие данные разыскиваемых лиц, причину и инициатора розыска. В базу также входят сведения о похищенных паспортах и украденных номерных знаках автомобилей. "Угнанные автомобили". Официальные данные ГИБДД на январь 2003 года. 1 967 456 записей. Содержит данные по угнанной машине (модель, цвет, номера шасси, кузова и проч., госномер), дату и регион постановки на учет. "ОВИР Москвы". Официальные данные МВД на 1999 год. ФИО получателей загранпаспортов, номера, серии, даты выдачи этих документов. "Автомобили Самары". Официальные данные региональной ГИБДД на 2002 год. "Автомобили Екатеринбурга". Официальные данные региональной ГИБДД на 2000 год. "Автомобили Новосибирска". Официальные данные региональной ГИБДД на 2002 год. "Уголовные дела, осужденные Омска". Данные о судимых и проходивших по уголовным делам в регионе на сентябрь 2002 года. "Розыск — Самара". Сведения о разыскиваемых лицах на 2002 год. Телефонные базы "Московская городская телефонная сеть". Официальные данные МГТС на январь 2003 год. Все телефонные номера Москвы, включая так называемые закрытые номера. Содержит адреса, ФИО абонентов или названия организаций. "Абоненты МТС". Данные компании МТС на ноябрь 2002 года. Содержит номер телефона абонента (федеральные и прямые московские), ФИО или название юридического лица абонента, ИНН, дату рождения, гражданство, паспортные данные, адрес места жительства, данные оплаты счетов. "Абоненты 'Би Лайна'". Данные компании "Би Лайн" на декабрь 2002 года. Содержит те же сведения, что и база "Абоненты МТС". "Центральная адресная база Санкт-Петербурга". Данные на октябрь 1999 года. Содержит ФИО, телефоны и адреса жителей Петербурга. "Телефонная база Новосибирска". Данные на август 2002 года. Содержит ФИО, телефоны, адреса. "Телефонная база Омска". Данные на 2001 год. Содержит ФИО, телефоны, адреса. "Телефонная база Екатеринбурга". Данные на ноябрь 2001 года. Содержит ФИО, телефоны, адреса. Базы по жилью и прописке "Жилье Москвы". Официальные данные бюро технической инвентаризации на апрель 2003 года. Порядка 7 млн записей. Содержит сведения о квартирах Москвы и их владельцах (информация об общей и жилой площади квартиры, год постройки дома, этажность, материал стен, ФИО собственника, дата его рождения, паспортные данные, вид собственности, данные документов, дающих право собственности). Позволяет также отследить предыдущих владельцев квартир. "Приватизированные квартиры Москвы". Данные на февраль 2001 года. Содержит сведения о владельцах таких квартир и данные документов, дающих право собственности. "Жилой фонд Москвы". Официальные данные московского Департамента муниципального жилья на сентябрь 2001 года. Содержит сведения о жилом фонде столицы. "Собственники московских квартир". Сведения о владельцах квартир в Москве (ФИО, паспортные данные, дата приватизации (покупки), совладельцы и т. д.). "Москомзем". Официальные данные Московского земельного комитета на август 2001 года. 79 610 записей. Данные о владельцах (физических и юридических лицах) участков земли в Москве. "Московская недвижимость". Официальные данные Москомимущества на 1999 год. Сведения об арендаторах и собственниках нежилых помещений Москвы. "Москва 2000". Данные на конец 2000 года. Порядка 12 млн записей. Справочная информация о жителях Москвы (ФИО, пол, адрес места жительства, дата рождения). "Область 2002". Данные на июнь 2002 года. Содержит сведения, аналогичные базе "Москва 2000". "Прописка — Москва". Данные на июнь 2002 года. Информация о зарегистрированных в квартирах Москвы гражданах (ФИО, место жительства, дата рождения и ряд других сведений). "Прописка — Московская область". Данные на январь 2002 года. Набор данных аналогичен базе "Прописка — Москва". "Прописка — Самара". Данные о жителях города на 2001 год. "Адресный стол Новосибирска". Данные о жителях города на 2000 год. "Физические лица Омска". Данные о жителях города на 2002 год. "Прописка — Екатеринбург". Данные о жителях города на декабрь 2001 года. "БТИ — Екатеринбург". Данные о жилом фонде города на 1999 год. |
