Реализация конституционных гарантий на неприкосновенность частной жизни и безопасность персональных данных в интернете

В современных условиях, все большее число прав человека получает свое развитие благодаря процессам информатизации. Важность этих процессов для государства очевидна как для стороннего, так и для вовлеченного наблюдателя, в первую очередь, из-за беспрецедентного внимания к информационным технологиям на всех уровнях государственной власти, да и в самом обществе. У всех на слуху слова «инновации», «модернизации», «электронное правительство», «информационное общество» «информационная безопасность», они постоянно фигурируют в выступлениях первых лиц государства, их можно услышать на множестве научных конференций, семинаров.

Значимость указанных выше явлений для государства проявилась и в активизации работы по принятию нормативных актов программного характера, призванных стать концептуальными основами государственной политики в сфере развития информационных технологий.

К таким документам можно отнести «Доктрину информационной безопасности Российской Федерации», утвержденную Президентом РФ 9 сентября 2000г., Федеральный закон «О персональных данных» №152-ФЗ от 27 июля 2006г, «Стратегию развития 55

информационного общества в Российской Федерации», утвержденную Президентом РФ 7 февраля 2008г. №Пр-212, Распоряжение Правительства РФ от 20 октября 2010 №1815-р (ред. от 18.05.2011) «О государственной программе Российской Федерации «Информационное общество (2011 - 2020 годы)».

Полагаем важным обратить внимание на очередность принятия указанных актов, на основе которой можно сделать вывод о начале серьезной разработки нормативной базы, а, следовательно, и о приоритете вопросов, касающихся информационной безопасности.

Необходимо также отметить, что данные вопросы и принятые для их разрешения законодательные акты затрагивают конституционные права множества граждан и имеют значительный общественный резонанс. Примером такого акта в свое время стал закон «О персональных данных». Если рассматривать персональные данные с позиции конституционного права, следует, прежде всего, отметить их выраженную связь с конституционными правами на неприкосновенность частной жизни (ст. 23 Конституции РФ) и ограничением сбора информации о частной жизни лица без его согласия (ст.24 Конституции). Немало вопросов вызывает само определение персональных данных, данное в ст.З ФЗ. Согласно данному определению, под персональными данными следует подразумевать любую информацию, позволяющую идентифицировать конкретное лицо. Некоторые эксперты полагают1, что для осуществления эффективной защиты необходимо подготовить под условия рынка более продуманную классификацию персональных данных для разработки способов их охраны. Мы разделяем указанную точку зрения. Существует множество способов, при помощи которых можно с большей или меньшей степенью

«Эксперты: закон «О персональных данных» нужно доработать» < /06/30/ekspert y_zakon_o_personahiyh_daimyh_nuzlmo_dorabotat_445794 >(доступнона 11.10.2012)

достоверности идентифицировать лицо, либо вмешаться в его частную жизнь, особенно в сети Интернет. Логины на сайтах, одинаковые пароли на разных вебресурсах, комментарии в блогах, отслеживаемое в реальном времени местоположение пользователя - и это лишь некоторые критерии. Разнообразие инструментария, при помощи которого осуществляется обработка и сбор данных, так же велико, вплоть до инструментов, осуществляющих сбор данных независимо от воли людей, полностью в автоматическом режиме.

На наш взгляд, максималистский подход в стремлении охватить все возможные сферы регулирования персональных данных, без учета организационно-технических особенностей Интернета, не является эффективным. На практике встречаются проблемы, вызванные таким максимализмом, общие для Интернета и для «офф-лайна». К примеру, регуляторами отмечается2 стремление операторов персональных данных запросить разрешение на избыточное количество возможных манипуляций с персональными данными - куда больше, чем того требуют сложившиеся отношения между оператором и субъектом данных. Максималисткий подход проявляется и со стороны регулятора. Так, по новым правилам коллектив организации не вправе поздравлять сотрудников с днем рождения без специального разрешения работника, в противном случае это расценивается как нарушение3.

Приказом ФСТЕК, ФСБ, Мининформсвязи РФ от 13 февраля 2008г. №5 5/86/20 Юг. «Об утверждении порядка проведения классификации информационных систем персональных данных» для определения класса информационной системы (а,

2Интернет-интервью от 28.12.11 с заместителем руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций Шерединым Р.В. «Зашита персональных данных: новые требования», СПС «Гарант».

3См. например: «О новых требованиях к работе с персональными данными» (интервью с В.В. Митрофановой, генеральным директором Института профессионального кадровика), // Кадровик.ру 2012. №2. 56

следовательно, стандартов по ее защите). Здесь заданы всего два критерия: количество субъектов, персональные данные которых обрабатываются системой, и 4 категории обрабатываемых данных (п.6 Приказа).

Унифицированность вышеуказанных критериев, на наш взгляд, является недостатком правового регулирования, который особенно очевиден в сети Интернет. Анализ наиболее распространенных отношений и действие механизмов нормативного регулирования в данной предметной области выявляет правовые лакуны, затрагивающие конституционные    права   миллионов индивидуумов.

Одним       из       примеров, демонстрирующимпоследствия для конституционных прав личности из-за пробелов правового регулирования персональной информации в интернете, выступают социальные сети.К ним относятся веб-ресурсы, предназначенные для осуществления     социальных взаимоотношений в     виртуальной реальности. При регистрации на этих ресурсах лицо добровольно заполняет специальные формы, в которых указывает имя, пол, возраст, род занятий, увлечения, музыкальные и кинематографические пристрастия. И здесь выявляется ряд интересных фактов.

Если мы обратимся к «Правилам пользования»4 популярной в России сети vkontakte.ru, то в п.5.1 обнаружим такую обязанность пользователя, как «предоставлять при регистрации достоверные, полные и актуальные данные, следить за их актуализацией». То есть, при перемене места жительства, субъект персональных данных, зарегистрированный в социальной сети обязан, например, не только сняться с воинского учета и встать на него по новому места жительства, но и отразить изменения на своей персональной странице. На наш взгляд, данное положение, имеющее юридическую силу для более чем 100 млн пользователей как минимум избыточно. Несмотря на то, что активного наблюдения со стороны социальной сети за выполнением данной обязанности не ведется, остается неясным, для каких целей необходима такая дотошность.

Согласно «Правилам защиты информации о пользователях сайта vk.com»5, п.З, информация обрабатывается «в целях выполнения обязательств Администрации Сайта перед Пользователями в отношении использования Сайта и его сервисов». При всем этом в данных документах наличествует раздел «Права и обязанности пользователей», но для Администрации такой раздел не установлен, что усложняет разрешение вопроса о конкретности, определенности и законности целей, и противоречит п.2 ст. 5 ФЗ «О персональных данных».

Отказ пользователя ресурса от обработки персональных данных пользователя ресурса влечет за собой удаление персональной страницы и всей информации на ней (см. п.5.1.5 «Правил защиты информации...»), но, вместе с тем, в правилах не указан механизм, который бы подразумевал составление акта уничтожения данных. Пользователь социальной сети вынужден довериться сообщению об удалении информации, не имея тому никаких документальных подтверждений. При этом в Правилах (п.5.1.5) указывается, что данные удаляются только по истечении 210 дней, что только усугубляет пользовательскую неосведомленность о гарантированности защиты информации от попадания к третьим лицам.

Однако, некоторые положения «Правил пользования» дают веский повод усомниться в том, что удаление персональных данных и защита конфиденциальности, как таковой, возможна. Так, п.6.2.5, гласит: «...Администрация вправе сохранять архивные копии пользовательского Контента в течение неопределенного

Правила пользования сайтом Вконтакте

(доступно на 11.10.2012).

5Правила защиты информации о пользователях сайта

57                                          '

срока». Под «контентом» в научной литературе подразумевают, в частности, «...статьи, обзоры и иные публикации, составляющие         информационное содержание сервера. Также к информационному содержанию относятся всевозможные картины, фотографии, коллажи, размещенные в Сети в электронной форме»6. Здесь возникает вопрос: «Допустимо ли отождествлять контент, содержащийся на странице социальной сети, с персональными данными?». Принимая во внимание уже указанное выше нормативное определение данных и специфику информационного наполнения персональных страниц в социальных сетях, можно с уверенностью указать, что значительная часть материалов подпадает под действие закона №152-ФЗ. Фото и видеоматериалы, на которых содержится субъект персональных данных, его комментарии к этим материалам, статусные сообщения -все это в совокупности дает возможность идентифицировать лицо, получить информацию о его частной жизни.

В зарубежных публикациях7 неоднократно отмечалось, что контроль над любой информацией, загружаемой в социальные сети, практически полностью утрачивается лицом, которое и внесло в сеть данную информацию. Основной функционал сети выполняет «успокоительную» функцию, создавая иллюзию возможности сохранения данных от пользователей, которым эта информация не предназначалась. Подобное отношение к личной информации в целом, и в частности - к личной жизни представляется чуждым самому духу конституционных прав человека. Если говорить о затрагиваемых данным фактом правах, необходимо указать на ст.24 Конституции РФ - сбор, хранение,        использование и распространение информации о частной

6Дашян М.С. «Право информационных магистралей: вопросы правового регулирования». - М.: «Волтере Клувер». 2007.

7«Over 3 years latter “deleted” Facebook photos are still online» <> (доступнона 11.10. 2012).

___________________________№1 (31) 2013 жизни без согласия лица не допускается. Данная норма находит свое отражение в норме закона о Защите персональных данных, ч.2 ст.9, о возможности субъекта отозвать согласие на обработку своих данных. Поведение лица, выражающееся в удалении своей страницы или части данных с нее, предлагается рассматривать в качестве конклюдентного действия, то есть отказа от предоставления доступа к данным каким-либо лицам, в том числе администрации сети.

Нами была осуществлена попытка эмпирически проверить вышеуказанные сообщения о сохранении удаляемых данных. Для этого в отечественную социальную сеть vk.com (вконтакте.ру), а так же зарубежные facebook.com , plus.google.com было загружено несколько фотографий. Затем были получены прямые ссылки на них (это легко сделать в любом современном браузере), и после при помощи функционала социальной сети была выполнена операция по удалению фотографий. Это позволяет констатировать, что в данный момент пользователь лишен возможности контролировать свою информацию в полной мере. Вместе с тем, присоединяясь к социальной сети и «Правилам пользования vkontakte.ru» (в частности, к п.6.2.5), пользователь разрешает хранить свои фотографии, видеозаписи, сообщения, комментарии неограниченное время, т.е. социальная сеть имеет полное право сохранения личной информации о пользователе в цифровой форме.

Между тем, указанное выше в любом случае позволяет нам поставить вопрос о нарушении ст.24 Конституции, так как факт сохранения информации, разрешение на хранение которой было отозвано лицом путем совершения конклюдентных действий - подачей команды на уничтожение данных в цифровой форме, было фактически не осуществлено сайтом. По нашему мнению, данная политика социальной сети является вводом в заблуждение пользователей, так как у последних создается впечатление, что данные безвозвратно уничтожены и никогда никому не будут доступны.

Фактически оператор социальной сети пользуется правовым нигилизмом и принятием соглашения «на авось».

Приходится констатировать, что на текущий момент отношения между субъектом персональных данных и операторами, администрирующими социальные сети, не отвечают критериям прозрачности, что явно противоречит основным принципам обработки персональных данных. Требуется интенсивная работа по гармонизации правовых инструментов регулирования с реалиями и обычаями отношений в социальных сетях, реализация гарантий защиты персональных данных de facto. Результат этой работы должен быть внесен в упомянутый закон №152-ФЗ в качестве отдельной статьи (раздела), посвященной специфике обработки персональных данных в сетях.

Логичным представляется активное участие России (как государства, обеспокоенного реальным действием конституционно-гарантированных свобод) в условиях взаимоотношений с операторами персональных данных, находящихся под юрисдикцией других государств. Здесь мы полагаем необходимым поддержать инициативу8 Европейской Комиссии, заключающуюся в декларации нового принципа взаимоотношений в Интернете в целом, и в социальных сетях, в частности - «Право быть забытым». Данное право логично следует из конституционного права на неприкосновенность частной жизни и представляет собой гарантированную возможность субъекта в любой момент времени удалить любой объем своей информации из сети, при этом получив гарантию от любого оператора любой персональной информации, чтоэта информация удалена безвозвратно и никому далее не может быть доступна. Для обеспечения прямого и непосредственного действия конституционного права личности на недопущение сбора информации о ее частной жизни

8Документ Европейской Комиссии < protectioii/document/review 2012/factsheets/> (доступно на 11.10. 2012).

целесообразнее всего зафиксировать данный принцип в ст.6 ФЗ №158, а действие по удалению информации в ч.2 ст. 9 - признать конклюдентным и расценивать его как отказ от обработки данных.

Проблема с хранением персональной информации в Интернете не ограничивается социальными сетями. Популярные системы поиска информации сложны для правового анализа, так как они постоянно развиваются. Их функционал более не ограничивается индексацией поисковых страниц, но предоставляет так же бесплатные сервисы электронной почты (yandex, google) и иные сервисы хранения информации. Так, в 2011 году произошло несколько крупных утечек данных, связанных с поисковыми системами. Первый скандал связан9 с индексацией Яндексом сетевого ресурса компании «Мегафон», посредством которого пользователями осуществлялась рассылка коротких текстовых сообщений (SMS). В результате утечки данных любой желающий мог получить посредством интернета доступ к отправленным сообщениям, число которых на тот момент превысило 8 тысяч.

Второй крупный скандал10, связанный с персональными данными, утечка имен, фамилий, контактной информации клиентов, осуществивших покупки в интернет-магазинах, а также информации о приобретенных ими товарах и их стоимости.

Сомнений в том, что сбор информации во всех описанных случаях был по своей сути противоправен, не имеется. 4.2 ст.23 Конституции допускает ограничение права на тайну корреспонденции исключительно на основании судебного решения. Сбор, хранение, использование и распространение информации о частной жизни без разрешения лица не допускается (ч.1 ст.24). Что же касается утечки

Абдуллаев Т., Изотов И. // «Российская газета». 2011. 20 июня.

10«Яндекс            раскрыл            покупателей»,

<> (доступно на 11.10.2012). 59

государственных документов ограниченной доступности, то потенциальный ущерб государственным интересам сложно переоценить.

Данные казусы примечательны следующим общим фактом: ущемление законных интересов людей произошло без волевого участия лиц, имеющих преступный умысел в краже личной информации, но по причине «человеческого фактора» - халатности со стороны разработчиков и администраторов электронных ресурсов. Поясним, не вдаваясь в технические подробности, что на ресурсах, оперирующих персональными данными и сообщениями, отсутствовал надлежащим образом подготовленный текстовый файл, который запрещал поисковым роботам обрабатывать размещенную на них информацию. Этот способ предохранения от «утекания» информации в свободный доступ является общепризнанным и распространенным11. Представляется закономерным вывод о том, что мелкая халатность в условиях глобальной компьютерной сети может детерминировать массовое нарушение основных конституционных прав личности, нанести ущерб государству.

На наш взгляд, рассмотренные нами казусы, очевидно, свидетельствуют о неэффективности унифицированного подхода. Для надлежащего уровня обеспечения базовых конституционных прав и свобод необходимо отказаться от данного подхода к охране персональных данных, но вместе с тем расширить правовую охрану до охраны любой персональной информации, не только идентифицирующей лицо, но и свидетельствующей об обстоятельствах его личной жизни. На текущий момент правовые лакуны, вызванные унифицированностью классификации персональных данных, по нашему мнению, не обеспечивают прямого действия конституционных гарантий статуса личности в интернете. Скорейшая адаптация правового регулирования к 11

«Яндекс рассказал о причинах рассекречивания смс Мегафона» (fl0CTynH0 на 11.10. 2012).

сложившейся системе отношений в интернете поможет защитить законные интересы огромного множества людей.