По данным МВД России, каждое второе компьютерное преступление в нашей стране – это неправомерный доступ к базам данных. Сегодня купить базы данных банков, сотовых операторов, ГАИ, БТИ, налоговой инспекции, Пенсионного фонда можно на любом рынке. Отдал две сотни рублей – и будешь в курсе, какая зарплата у твоего соседа, друга, босса.
Причем почти наверняка вся эта информация собирается киберпреступниками при участии продажных чиновников. Наверное, по этой же причине в России отношение к торговле персональными данными остается возмутительно терпимым. Хотя прозрачной стала личная жизнь абсолютно всех категорий граждан: от навязчивого внимания мошенников не застрахован никто – от рядового клерка до генерала ФСБ. На Западе подобные проблемы пережили еще в 70-е годы (тогда, кстати, даже появился термин «стеклянные люди»). В январе 1981 года Совет Европы принял эпохальную «Конвенцию о защите физических лиц при автоматизированной обработке персональных данных», а право на защиту персональных данных было включено в список прав и основных свобод человека. В ногу с Европой попыталась шагать и новая Россия.
О необходимости защиты персональных данных вскользь упоминалось еще в первой версии закона «Об информации» образца 1995 года. Некоторые положения, касающиеся защиты приватной информации о работниках, прописаны в Трудовом кодексе РФ, принятом в 2001 году.
Кроме того, в Госдуме РФ дважды (в 1998 и 2000 году) поднимался вопрос о принятии отдельного закона «О защите персональных данных» – но оба раза законопроекты не дошли даже до первого чтения. И вот в 2001 году Россия подписала упомянутую Европейскую конвенцию, а спустя четыре(!) года ратифицировала ее.
Летом 2005-го был принят федеральный закон «О персональных данных», который поэтапно вступает в силу с начала 2008 года до начала 2010-го.
Как же все это выглядит на практике? Об этом обозреватель «Открытой» беседует с адвокатом межрегиональной ассоциации правозащитных организаций «Агора», правовым аналитиком Ириной ХРУНОВОЙ.
- Ирина, в свое время вокруг принятия закона «О персональных данных» в обществе развернулась горячечная полемика. Многие правозащитники, журналисты, юристы утверждали, будто теперь все население страны окажется «под колпаком» у государства. Откуда такой трагизм прогнозов?
- Начнем с того, что этот закон изобилует очень расплывчатыми и непонятными (даже для юристов) формулировками. Например, под персональными данными в нем понимаются «любые сведения, относящиеся к определенному... физическому лицу». Под это определение может подпасть практически всё - начиная от телефонного номера и заканчивая кличкой домашнего пса. А равно и такие сугубо интимные данные о гражданине, как его политические, религиозные, сексуальные предпочтения или состояние здоровья.
- И этот закон действительно касается каждого из нас?
- Да. Мы почти ежедневно сообщаем множеству различных инстанций сведения о себе и своих близких - то есть те самые персональные данные. Для получения дисконтной карты в магазине безропотно указываем ФИО и дату рождения.
А, например, при поступлении ребенка в детсад, школу и даже вуз охотно сообщаем руководству этих учреждений не только свой, родительский, телефон, но также место работы и должность.
Причем все это происходит для нас естественно и обыденно. Хотя нелишне было бы, например, задуматься, каким образом успеваемость ребенка зависят от того, где и кем трудятся его родители. Также мы совершенно не удивляемся, когда наши персональные данные, переданные, например, в ЖЭУ, оказываются в каком-нибудь расчетном центре или управляющей компании. Нашего согласия на эту передачу даже не спросили. И ведь многие граждане махнут рукой: да ладно, ерунда, мелочь!
Но будем ли мы так же легко относиться к распространению информации о наших доходах, имуществе, возрасте детей или, чего доброго, состоянии здоровья? Хотим ли мы, чтобы подобные данные о нас и нашей семье были в свободном «плавании»? Чтобы их можно было найти в Интернете или на дисках, продающихся на рынке?
Так вот, закон «О персональных данных» вводит жесткие ограничения для сбора и распространения личных данных граждан. Сбор этих данных допускается только под определенную цель (например, провести рекламную кампанию в магазине). Как только эта цель достигнута - базу данных необходимо уничтожить.
Причем сборщики данных обязаны спрашивать у гражданина письменное согласие на включение его в ту или иную базу. Также необходимо письменное разрешение гражданина на то, чтобы обнародовать его личную информацию (скажем, вывесить на сайт или издать справочник).
- Но, наверное, есть и случаи, когда подобное согласие не требуется?
- Да, но их немного. Например, если информацию собирают правоохранительные и некоторые иные государственные органы (Пенсионный фонд, почта, коммунальные службы и др). Кроме того, не нужно согласия гражданина, если он заключает публичный договор (оферту). Например, с компанией электросвязи. Провели вы домой телефон - и автоматически попали в списки телефонного узла.
- То есть собирать личные данные о человеке будет иметь право, по сути, любое предприятие или частная компания?
- Нет, не любая. Закон гласит, что каждое учреждение или предприятие, которое собирает персональные данные о гражданах, обязано до 2010 года пройти регистрацию в качестве «оператора» таких данных. Причем это касается не только Пенсионного фонда или банков, но также загсов, детских садиков, адвокатских контор, избирательных комиссий…
- … газет и журналов.
- Нет, на журналистов действие этого закона не распространяется. Причем такого «послабления» в первоначальном тексте закона, разработанного правительством России, не было. Оно появилось благодаря Совету Федерации, да и то лишь после активного протеста журналистского сообщества страны, которое увидело в этом законе ущемление своих прав и свободы слова в целом.
Итак, каждый оператор в срок до 2010 года должен пройти регистрацию в уполномоченном органе - это региональное Управление Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия (Россвязьохранкультура).
Правда, сейчас по всей стране такую регистрацию прошли лишь около 16 тысяч операторов, это капля в море. Я на днях обзвонила десятка полтора своих знакомых - предпринимателей. Так вот, оказалось, что ни один из них не только не зарегистрировался в Росохранкультуре в качестве оператора, но даже не знал, что необходима такая регистрация.
- Но, собственно, зачем эта процедура нужна?
- После того, как тот или иной оператор (учреждение или фирма) проходит регистрацию, ее название вывешивается на специальном интернет-портале по адресу www.pd.rsoc.ru. Когда процесс регистрации к 2010 году в масштабах страны будет завершен, каждый гражданин сможет зайти на этот портал и удостовериться: имеет ли право та или иная фирма (рекламная, кадровая, торговая и т.д.) вести сбор его персональных данных.
Если этой фирмы в реестре нет, то гражданин может написать жалобу в местное управление Росохранкультуры. Именно оно является контролирующим органом и имеет право представлять в суде интересы граждан по случаям нарушения закона «О персональных данных» (в первую очередь, это незаконный сбор и распространение личной информации о гражданах).
- И какое же наказание предусмотрено для такой фирмы?
- Во-первых, административная ответственность (статья 13.11 КоАП). Санкция там небольшая, максимум 10 тыс. рублей штрафа. Во-вторых, уголовная ответственность (статьи 137 и 272 УК РФ). Она касается более тяжких эпизодов: например, хакерский взлом базы данных или распространение сведений о личной жизни известного человека в СМИ. Наказание - до пяти лет тюрьмы или штраф до 300 тысяч рублей.
Наконец, закон предусматривает и гражданскую ответственность - но только в том случае, если гражданину причинен материальный ущерб или моральный вред. Как показывает практика подобных дел, суды «насчитывают» гражданину не более нескольких тысяч рублей ущерба.
- Ирина, на бумаге все гладко. Почему же тогда правозащитники трубили об опасности того, что государство возьмет всех граждан «на карандаш»?
- Первоначально в законе содержались две крайне спорных с правозащитной точки зрения нормы: о создании единого госреестра операторов персональных данных (некоей «супербазы» данных) и о присвоении каждому гражданину личного идентификационного номера (ЛИН) в этой базе.
Правда, под давлением правозащитников эти нормы из окончательного варианта закона исключили. Но на практике вероятность появления таких подконтрольных государству «супербаз» данных осталась.
Дело вот в чем. Для ныне нищенствующих госучреждений (школ, больниц, детсадов, загсов) финансово и технически неподъемно обеспечить требуемый законом уровень защиты информации. Так что, вероятнее всего, для хранения и обработки информации они будут привлекать другие госструктуры - а именно государственные информационные центры, которые планируется создать как минимум в каждом регионе.
И вот теперь представьте, что в такой единый информцентр стекается информация обо всех жителях того или иного региона - начиная от того, в какой детсад ходят его дети, и заканчивая сведениями о его пенсионных отчислениях (то есть фактически о зарплате).
Кто даст гарантию, что этот массив данных не будет использован государством для слежки? По крайней мере, соблазн у чиновников будет очень велик. Равно как и соблазн «слить» эту крайне ценную информацию на сторону - а иначе, как вы полагаете, в свободном доступе появляются засекреченные базы данных БТИ или автоинспекции?
- То есть государство не гарантирует, что даже при новом законе утечек информации не будет?
- По сути, не гарантирует. Еще год назад правительство России поручило Федеральной службе по техническому и экспортному контролю (ФСТЭК) и ФСБ разработать стандарты защиты персональных данных в рамках нового закона. Стандарты до сих пор не разработаны, а ведь время вступления закона в силу неумолимо приближается.
Да и для самой Росохранкультуры до сих пор не созданы административные регламенты, определяющие, как это ведомство будет контролировать работу «операторов» персональных данных. А вариантов контроля ведь может быть множество. Придет ревизор в некое ведомство и попросту удостоверится, что база данных этого ведомства имеет несколько надежных паролей, которые трудно взломать. А может прийти и потребовать эту базу данных открыть и ему на диск скопировать.
- Интересно, а как же на Западе решают подобные проблемы?
- На Западе рецепт их решения придумали еще в 80-е годы, с принятием упомянутой конвенции Совета Европы. Контроль за защитой персональных данных осуществляют независимые от государства структуры - так называемые Уполномоченные по защите личных данных (они созданы по типу Уполномоченных по правам человека).
Вообще, конфиденциальность персональных данных (как и вообще право на тайну частной жизни) относится к тем вопросам, которые балансируют на грани права и этики и вряд ли могут быть адекватно урегулированы законодательством. Тем более, когда такое регулирование не опирается на исторические традиции. К сожалению, в России подобных традиций пока нет.
Поэтому в нашем обществе постоянно возникает множество спорных вопросов. Насколько глубоко СМИ имеют право влезать в частную жизнь «звезд»? Имеет ли преступник право, чтобы информация о его судимости не стала достоянием гласности? Какие сведения о личной жизни политика считать предвыборной агитацией, а какие - простым информированием общества? На Западе все эти проблемы уже давно решены - а России еще только предстоит отвечать на эти крайне болезненные для общества вопросы.
Беседовал
Антон ЧАБЛИН
Версия для печати
Добавить комментарий