Уголовно-правовая политика в сфере защиты персональных данных.
Статья 2 Конституции РФ гласит: «человек, его права и свободы являются высшей ценностью. Признание и защита прав и свобод человека и гражданина – обязанность государства». В соответствии с ч.1 ст. 23 Конституции РФ «каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну…», а ч.1 ст. 24 Конституции РФ устанавливает, что «сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается».
Уголовный кодекс РФ, объявив одной из своих задач охрану прав и свобод человека и гражданина от преступных посягательств, в диспозиции ст. 137 установил, что «незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации» является преступлением и лицо, совершившее такие действия, подлежит уголовной ответственности.
По мнению Копылова В.А., переживаемая современным обществом пятая информационная революция заключается в "интеграции в едином информационном пространстве по всему миру программно-технических средств, средств связи и телекоммуникаций, информационных запасов или запасов знаний как единой информационно-телекоммуникационной инфраструктуры, в которой активно действуют юридические и физические лица, органы государственной власти и местного самоуправления. Это привело к возникновению нового информационного состояния общества, которому требуется переосмысление значимости влияния на современную жизнь информационных ресурсов, выработки мер и способов эффективного правового регулирования и защиты нормального оборота информации.
Прежде всего, обращает на себя внимание то обстоятельство, что информация превратилась в особый товар современных рыночных отношений. Причем в отличие от классических свойств товара, присущих ему во все времена, информация в современном мире приобрела новые стоимостные свойства, позволившие проникнуть в качестве товара в такие сферы частной и публичной жизни, которые ранее были недоступны. Не для кого не секрет, что сегодня практически любой человек может за определенную плату на так называемом «черном рынке», приобрести диск с компьютерными базами органов ГИБДД, ФНС РФ и ряда других органов государственной власти, а также некоторых коммерческих структур.
Информацию, полученную из таких информационных баз можно использовать как в преступных целях, так и для совершения действий, хотя и противоречащих основам нравственности и правопорядка, но не являющихся преступными (например, выяснение кредитной истории, состава имущества контрагента с целью оказания влияния на него в рамках закона при ведении переговоров и получения преимуществ по сделке).
Незаконный оборот охраняемой информации не всегда причиняет вред напрямую имущественным отношениям собственника или владельца и позволяет получить материальную выгоду недобросовестному получателю от последующего использования.
Таким образом, можно констатировать факт, что появился новый вид общественно опасного бизнеса - торговля информацией. Эта информация в последующем используется в конкурентной борьбе, переделе собственности, в целях противодействия правоохранительной деятельности.
В целях пресечения вышеуказанной деятельности и во избежание дальнейшего ухудшения ситуации, связанной с незаконным оборотом информации на рынке товаров и услуг, а также в целях охраны прав человека и гражданина на неприкосновенность частной жизни, личную и семейную тайну, был принят ФЗ № 152-ФЗ «О персональных данных», речь о котором пойдет ниже.
Прежде хотелось бы отметить, что российским законодателем уже предпринималась попытка обеспечить условия конфиденциальности персональных данных. Данная идея нашла свое отражение в главе 14 Трудового кодекса РФ, которая называется «Персональные данные работника»
В действовавшем до введения Трудового кодекса РФ Кодексе законов о труде, нормы, связанной с защитой персональных данных о работнике, не имелось. В связи с этим, допускалось предоставление этих данных любому лицу, как в рамках единого трудового коллектива, так и за его пределами.
Поскольку Уголовным кодексом РФ в ст. 137 не определен перечень сведений, которые могут составлять личную и семейную тайну лица, привлечение лиц, виновных в совершении действий, предусмотренных ч.1 ст. 137 УК РФ, в том числе за распространение и разглашение персональных данных работника без его согласия, к уголовной ответственности было весьма затруднительным.
Чтобы внести некоторую ясность в данный вопрос ТК РФ в ст. 85 определил, что под персональными данными работника понимается «информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника», а под обработкой персональных данных – «получение, хранение, комбинирование, передача или любое другое использование персональных данных работника».
В соответствии с положениями главы 14 ТК РФ обработка информации, полученной от работника, может осуществляться исключительно с его согласия, а в случаях, когда такая информация может быть получена только от третьих лица или передается третьим лицам, то такие действия можно осуществлять исключительно с письменного согласия работника.
Передача персональных данных в пределах одной организации либо у одного индивидуального предпринимателя должна осуществляться исключительно в соответствии с локальными нормативными актами, с которыми работник должен быть ознакомлен под роспись. Доступ к персональным данным работника может быть разрешен только специально уполномоченным лицам, при этом они имеют право получать только те персональные данные, которые им необходимы для выполнения конкретных функций (ст. 88 ТК РФ).
При этом лица, получающие информацию от работодателя, предупреждаются о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и представитель работодателя, предоставляющий такие сведения, имеет право требовать от этих лиц подтверждения того, что это правило соблюдено.
Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности), а работодатель обязан за свой счет обеспечить режим безопасности персональных данных работника, и «не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия» (п.4 ст. 86 ТК РФ).
Существенным моментом, содержащемся в нормах главы 14 ТК РФ, является то, что законодатель определил в каких случаях и в какой форме должно быть получено согласие работника при обработке его персональных данных. Как правило, такое согласие должно быть получено в письменной форме. Данное обстоятельство позволит в дальнейшем, в случае возникновения правового конфликта, иметь заинтересованному лицу письменное доказательства существования или отсутствия волеизъявления пострадавшей стороны.
Кроме того, Трудовым кодексом РФ в ст. 90 установлено, что за нарушение правил, изложенных в главе 14, виновные лица несут, в том числе, и уголовную ответственность.
При таких обстоятельствах можно предположить, что законодатель отнес персональные данные работника к информации о частной жизни лица, составляющих его личную тайну и подпадающие под категорию сведений, обеспеченных уголовно-правовой охраной в ст. 137 УК РФ.
Поэтому, если лицо разглашает сведения о частной жизни работника, являющиеся его личной или семейной тайной без его письменного, а в исключительных случаях, устного согласия, оно может быть привлечено к уголовной ответственности по ст. 137 УК РФ.
Важно отметить, что в данном случае отсутствие согласия потерпевшего является обязательным признаком объективной стороны состава преступления. Если такое согласие имеет место, преступность деяния отсутствует. Таким образом, согласие потерпевшего может исключать преступность деяния как в случае, когда оно рассматривается в качестве одного из обстоятельств, исключающих преступность деяния, поскольку имеет юридическую природу, сходную с обстоятельствами, перечисленными в Главе 8 УК РФ, так и в случаях, когда оно является обязательным признаком объективной стороны состава преступления.
Вышеуказанные положения Трудового кодекса РФ несколько усложнили трудовые отношения, но, по мнению законодателя, должны были оградить работника от злоупотребления лиц, работающих в одной организации и имеющих доступ к его персональным данным, которые могли воспользоваться ими в личных целях, а также передать соответствующие сведения третьим лицам.
Однако положения Главы 14 ТК РФ являлись специальными нормами и подлежали применению исключительно в сфере трудовых отношений. Требовался нормативный акт общего характера, положения которого распространялись бы на неограниченный круг лиц.
Таким нормативно-правовым актом стал ФЗ № 152-ФЗ «О персональных данных» от 27.07.06, вступивший в законную силу с 26.01.07
В п. 1 ст. 3 ФЗ «О персональных данных» установлено, что под персональными данными понимается «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация».
Под «обработкой персональных данных» в вышеуказанном законе понимаются «действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных».
Любое из вышеуказанных действий, совершенное с нарушением правил, установленных данным федеральным законом, может повлечь за собой различные неблагоприятные последствия для правонарушителя, вплоть до уголовной ответственности.
Таким образом, как и в случае с персональными данными, предоставляемыми работником в рамках трудовых отношений, законодатель установил, что все сведения, касающиеся любого физического лица вплоть до его фамилии, имени и отчества относятся к категории информации, подлежащей охране со стороны государства, в том числе по нормам Уголовного кодекса РФ.
Согласие на обработку персональных данных дается субъектом «своей волей и в своем интересе», принуждение к предоставлению информации, касающейся персональных данных любого физического лица, не допускается.
Как и в ТК РФ, закон говорит о необходимости получения согласия от субъекта персональных данных, как правило, в письменной форме. При этом ранее данное согласие может быть в любой момент отозвано субъектом персональных данных. Закон определил содержание письменного согласия на обработку персональных данных. Оно должно включать в себя:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
3) цель обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
6) срок, в течение которого действует согласие, а также порядок его отзыва» (ч.4 ст.9 ФЗ «О персональных данных»).
Такое четкое определение содержания согласия представляется, на мой взгляд, интересным с точки зрения определения формы и содержания согласия, даваемого потенциальным потерпевшим при распоряжении принадлежащими ему благами в случаях, когда такие действия будут исключать преступность деяния лица, причинившего вред.
В ряде случаев, перечисленных в ст. 6 ФЗ «О персональных данных» например, когда «обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно», согласия физического лица не требуется. Перечень таких случаев является исчерпывающим и расширительному толкованию не подлежит.
Может сложиться впечатление, что любая информация о каком-либо физическом лице требует его согласия. Это не совсем верно. ФЗ «О персональных данных» помимо установления случаев, при которых согласие субъекта персональных данных не требуется, позволяет обрабатывать персональные данные физического лица без его согласия, если они получены из общедоступных источников.
Очень хочется надеяться, что введение в действие ФЗ «О персональных данных», при соблюдении механизма его реализации позволит сократить количество правонарушений в сфере обработки информации и обеспечить надлежащей защитой прав граждан на неприкосновенность частной жизни, личную и семейную тайну, гарантированные им Конституцией РФ.
Копылов В.А. Информационное право: Учебник. 2-е изд., перераб. и доп. М. 2002. С. 20.