|
||
Требования к адекватной защите персональных данных, сформулированные в директиве по защите персональных данных Европейского СоюзаПЕТРОСЯН М. Е. (эксперт "Гражданского
контроля"): Продолжаем нашу работу. ГАРСТКА Х.: Спасибо. Господин Секей говорил о технических аспектах защиты информации. Технические и технологические решения очень важны и имеют много аспектов. Особенно это касается проблематики, связанной с Интернетом. Я же намерен говорить о юридическом аспекте: о том, как выглядит законодательство, связанное с защитой информации и персональных данных, потому что тем государствам, которые сейчас работают над таким законодательством для своей страны, придется вписаться в общую систему существующего законодательства других стран, и они должны это учитывать. Начнем с Организации Объединенных Наций. В 1990 году была принята резолюция ООН о защите персональных данных, и никто не может сейчас сказать, что он не знал, что это за проблема -- защита персональных данных , и вообще не имеет представления о том, что такие проблемы существуют, и не будет ориентироваться на ООНовские нормы. То же относится к другой международной организации: это Европейская комиссия. Еще в 1980 году она приняла соответствующие рекомендации, в настоящее время они пересматриваются. Теперь что касается Европы. Есть Конвенция 1981 года, ее подписало большинство европейских государств, следовательно, для них этот документ обязателен и должен приниматься во внимание при разработке внутреннего законодательства. Россия -- член Совета Европы, но не член Европейского Сообщества, однако она должна учитывать эти рамочные условия, эту законодательную базу. Есть директива Европейского Сообщества 1995 года, которая касается защиты данных. И этот документ имеет для России значение, поскольку его центральный пункт -- это экспорт информации в третьи страны и в страны Европейского Сообщества. Директива устанавливает рамочные условия относительно уровня доступа и возможности передачи информации. Смысл ее состоит в том, что экспорт информации запрещается, если не обеспечен определенный уровень ее защиты. Как можно достичь такого достаточного удовлетворительного уровня защиты информации? Здесь есть много возможностей. Первая возможность состоит в следующем. В третьей стране действует разумный закон о защите персональных данных и информации, который соответствует нормам Европейского сообщества. (К сожалению, таким законодательством располагают очень немногие третьи страны. Например, Соединенные Штаты имеют законодательство, соответствующее критериям Европейского сообщества.) Это касается иногда отдельных отраслей банковской деятельности, кредитных организаций, здравоохранения. Но в других сферах такого соответствия нет. На этот случай Директивы устанавливают определенный механизм: как следует себя вести, как следует взаимодействовать, как происходит признание соответствия через комиссию. Если такое общее согласование невозможно, то требуется в каждом отдельном случае передачи информации заключать конкретный договор между партнерами (тем, кто экспортирует информацию из Европейского сообщества, и тем, кто хочет принять эту информацию в третьих странах), предусматривающий, как они должны поступать в той или иной ситуации. В Германии, например, Бундесбан (немецкая железная дорога) заключила такой договор со Штатами -- речь идет о специальных сведениях, касающихся возможности получения скидки на проездные документы. И эти билеты можно заказать из Штатов. Поскольку в Германии очень много людей перемещается по железным дорогам, продажа билетов имеет большое значение, и доступ к такой информации действительно актуален; и в этой сфере нужно было создать особую систему защиты информации. Каковы требования, предъявляемые к стране, принимающей информацию? Специальные уполномоченные Европейского сообщества выработали рекомендации, и есть такой документ номер 12. Именно в нем содержатся содержательные критерии, касающиеся будущего экспорта информации, как следует себя вести в этой связи. Речь идет о контактах государств-членов Европейского Сообщества и государств, которые таковыми не являются. Эти критерии являются важными ориентирами для членов Европейского Сообщества. На их основе осуществляется координация и согласование внутреннего законодательства стран. Они учитываются при заключении договоров. Первое требование -- это целенаправленная передача информации. Оно означает, что экспорт информации возможен только тогда, когда установлено, что страна, принимающая информацию, действительно будет использовать эти сведения по заявленному сценарию, то есть для определенных целей. Например, при передаче банковских данных из Германии в Россию необходимо обосновать, что они будет использоваться именно для конкретного финансового случая. Как можно доказать, что информация используется только и исключительно для одного случая? Возьмем туристов, которые тысячами перемещаются из России в Германию и из Германии в Россию. Люди интересуются Петербургом, например. Эта информация важна и для туристов, и для организаторов туризма, и для всех вообще, кто связан с человеческими контактами. Как тут определить однозначность целевого использования -- большой вопрос. Во всяком случае, лицо, которого касается передаваемая информация, должен выразить свое согласие на ее передачу. Второй принцип -- качество информации и ее относимость. Нужно установить, что эта информация верифицирована, что набор сведений правилен. Относимость информации означает, что сведения должны обрабатываться и передаваться за границу только в том объеме, который необходим для осуществления конкретной заявленной цели. Например, обеспечение перемещения туристов. Человек планирует путешествие в Петербург, для этого нужны такие-то и такие-то сведения, а его фирма, организатор туристических перемещений, запрашивает еще и дополнительные сведения. Третий принцип -- прозрачность, ясность. Например, сведения о перемещении туристов из Германии в Россию, из России в Германию должны быть абсолютно ясны по своей структуре как для той стороны, которая передает информацию, так и для принимающей информацию стороны. Четвертый принцип -- надежность и безопасность данных. Должны быть предусмотрены технико-организационные мероприятия, обеспечивающие сохранность информации. Это касается в первую очередь компьютерной передачи информации. Пятый принцип связан с доступом к полученной информации. Стандарты защиты информации по европейскому праву подразумевают, что в стране, принимающей информацию, к этой информации допускается только тот, кому она была предназначена. Последний принцип, которого я хотел бы сегодня коснуться, это ограничение дальнейшей передачи информации, то есть из третьих стран в некие четвертые страны. Например, Россия от Германии получила какую-то туристскую информацию, она передает эту информацию еще кому-то. Адресаты переданной в третью страну информации должны гарантировать, что она не будет передана в четвертые страны, либо должен быть заключен соответствующий договор и тщательно изучено состояние законодательства по защите персональных данных и информации в этой четвертой стране. Иначе происходит сквозной трансфер информации из стран-членов Европейского сообщества через третьи в четвертые страны. Эти требования, которые я здесь изложил, продиктованы и к этическими принципами, и национальное право государств-членов Европейского союза это учитывает. Определенные категории информации требуют специального подхода. Прежде всего, это так называемая "чувствительная" информация. Данные о здоровье, сексуальной жизни, о политических убеждениях индивида -- здесь требования, предъявляемые к передаче информации, особенно жесткие. Возьмите, например, сведения о политических убеждениях. Вы представляете, насколько это важно. К таким данным доступ может быть открыт только с согласия того, кого эта информация касается, и для того круга лиц, который он сам определит. Далее, предписания, касающиеся прямого маркетинга. Индивид вправе рассчитывать на то, что информация, предоставленная им в ходе деловой деятельности, не будет использована для других целей. Я уже приводил пример с туристским бизнесом. Полученные для туристических целей сведения могут быть использованы в рекламе, а это может определенным образом задевать интересы лица, которое является субъектом данной информации. Еще один момент, значение которого совершенно очевидно: возможность автоматического принятия решения. Здесь действует правило, согласно которому неблагоприятное для субъекта информации решение не может быть принято на основе одних только компьютерных сведений. Допустим, вы хотите завести кредитную карточку, скажем, в системе "Виза". Если вам уже приходилось это делать, вы знаете, а если нет, то имейте в виду на будущее, что при этом вам задаются довольно странные вопросы. Например: как часто за последние пять лет вы переезжали? на какую фирму работаете? Эта информация автоматически учитывается компьютером, когда он принимает решение: давать вам "Виза"-карту или нет. Это так называемая скоринговая программа. Она направлена на предотвращение неблаговидного использования кредитных карточек или выдачи их ненадежным лицам. Так вот, лицо, которого касается решение, не должно пострадать в результате такого автоматического решения. Оно должно иметь возможность привлечь к принятию решения "человеческий элемент" и представить свои объяснения и возражения. В Германии был один интересный судебный процесс. Решение суда касалось дорожного движения в Бранденбурге (это федеральная земля вокруг Берлина). На шоссе были установлены автоматические камеры, которые контролировали скорость перемещения автомобилей. Их настроили так, чтобы они считывали номера проносящихся мимо автомобилей. Сведения поступали в компьютер. Компьютер сравнивал их с реестром транспортных средств, затем автоматически выписывался штраф и штрафная квитанция высылалась адресату. Судом Бранденбурга такая процедура была признана незаконной, хотя в Германии она применяется повсеместно. Никого нельзя принудить к выполнению решения, принятого исключительно на компьютерной основе. Вот из этого исходило бранденбургское законодательство. Все нормы, регулирующие защиту информации, выглядели бы бессмысленными, если бы их нельзя было бы обеспечить. Поэтому при передаче информации в третьи страны учитывается такой важный фактор, как механизмы реализации тех положений, которые прописаны в законе. Первое требование -- обеспечение "удовлетворительного уровня" защиты. Очень сложно определить, что такое удовлетворительный уровень. 70 тысяч частных фирм. Допустим, нужно проверить, соответствует ли их деятельность закону о защите персональных данных и информации. Уже это одно -- проблема. Может быть, следует поступать иначе? Если имеются сведения, что в третьих странах действует закон о защите информации, но никто, так сказать, на него не обращает внимания, и соответствующие инстанции не могут обеспечить работу этого законодательства, тогда принимаются особые меры. Должны быть предусмотрены механизмы, которые лицу, которого это касается, помогают в отстаивании им своих прав. В американской системе заинтересованное лицо может обратиться в суд. При этом ему придется оплатить услуги адвоката и так далее. Это все очень непросто. В Европе и в частности в Германии существуют определенные внесудебные структуры, которые в этом случае помогают индивиду, исследуют обстоятельства и решают, имело ли место нарушение его прав. И последнее. "Достаточный уровень" защиты признается в том случае, когда законодательство предусматривает компенсацию в случае признания факта нарушения персональных прав. В документе 12 не сказано однозначно, в какой форме может быть предоставлена такая компенсация, имеется ли в виду только денежное возмещение или еще и другие виды компенсации. В законе о защите персональных данных должна быть предусмотрена и компенсация нематериального вреда, когда, например, в Интернете появляется ложное обвинение, касающееся кого-то (например, дело Билла Клинтона пестрит возможностями такой оценки). Из всего, что было сказано, можно сделать следующий вывод. Если государство, не являющееся членом Европейского Сообщества, разрабатывает закон о защите информации в расчете на его приемлемость для стран-членов Европейского Сообщества, то многие изложенные мною позиции должны быть учтены; в противном случае есть опасность, что Европейская комиссия, ее уполномоченный по защите информации примут решение о запрете передачи персональной информации из стран Сообщества на территорию этого государства. Я хотел вам дать наш web-овский адрес. Пожалуйста, запишите, если вас это интересует. Там очень много информации. Вы найдете там документ номер 12, о котором я говорил и в котором изложены основные принципы, которые я пытался сейчас перед вами развернуть. Спасибо за внимание. ПЕТРОСЯН М. Е.: Есть ли вопросы к докладчику? НАУМОВ В. Б. (Институт информатики РАН):
Благодарю вас за интересный доклад. Первый вопрос. Насколько обширна судебная практика в Германии по делам и спорам, связанным с использованием сети Интернет? В частности, сколько было вынесено судебных приговоров в связи с принятым в 1996 году в Германии законом о мультимедиа. И второй вопрос. В связи с тенденциями объединения Европы, глобальным характером сети Интернет, испытывает ли Германия какое-либо давление, либо пытается тот закон об Интернете, закон о мультимедиа распространить в качестве стандарта для всей Европы? ГАРСТКА Х.: Большое спасибо за вопросы. Что касается названного вами закона, у нас пока нет судебных решений по этим вопросам. Очень многие люди, использующие Интернет, e-mail, не задумываются о тех опасностях, которые с этим могут быть связаны. Они просто об этом не думают. Пока у нас нет решений суда, но проблемы есть. Следует различать федеральный и земельный уровень. Было решение мюнхенского суда, касающееся детской порнографии, о том, насколько допустим свободный доступ к такой информации. Дело было связано связанное с фирмой "Компьюсерфом", которая допустила прямую передачу подобной информации в Штаты. В данном случае фирма была проводником информации, не более, и не выполняла какой-то активной роли. Можно ли их в этом случае обвинить в содействии и соучастии -- это большой вопрос. Я считаю ошибочным решение суда. Просто доступ в Интернет -- эта функция, эта услуга -- не может быть основанием для того, чтобы фирма-провайдер несла ответственность за ту информацию, к которой она обеспечивает доступ. Дальше -- вопрос об экспорте информации, о передаче третьим лицам, четвертым и так далее. Надежность информации, надежность доступа -- здесь очень много критериев, очень много частных вариантов. Когда вы вызываете информацию, вы оставляете след в Интернете, и дальше можно отследить, как использовалась информация; в принципе есть возможность срочного уничтожения информации и так далее. ПЕТРОСЯН М. Е.: Есть ли еще вопросы? Тогда я позволю себе задать вопрос. Господин Гарстка, этот вопрос не связан прямо с темой Вашего доклада, но тем не менее непосредственно Вас касается. Дело в том, что господин Секей выразил некоторый скептицизм по поводу института Уполномоченного по защите персональных данных. Кому, как не вам, судить о том, насколько оправдан этот скептицизм. Считаете ли вы, что те посреднические функции, которые выполняет Уполномоченный, в частности в Германии, недостаточны, и он должен обладать еще и полномочиями по регулированию? В частности, Дэвид Флаэрти, книга которого, может быть, вам известна, высказал такую мысль. Считаете ли вы достаточно эффективной работу своего ведомства? Для нас весьма важен вопрос об уполномоченном, поскольку подобный институт предусмотрен в проекте нашего закона. ГАРСТКА Х.: Наш немецкий опыт следующий. В защите информации, как она сейчас выглядит, достигнут достаточный уровень, но он не мог бы быть достигнут без института уполномоченных по защите персональных данных. Должен быть некто, кто решает в качестве споры, возникающие между теми, кто осуществляет работу с персональными данными, и теми, кто считает, что в процессе такой работы были нарушены их права. И задачи его простираются на области, которые связаны с проблемами, которые затронул господин Секей. Если вы слишком сконцентрируетесь на возражениях граждан (а ведь гражданин наш очень реактивен), то вы тогда пропустите некоторые аспекты, связанные с политикой. Например, принципы и регулирующие механизмы, касающиеся политической сферы жизни общества. То, что нас заботит, и то, что у нас не очень эффективно происходит, это регистрация баз данных. И на европейском уровне то же самое. Все вопросы, связанные с технологией обработки информации, передаются определенному центру обработки информации, который потом передает эту информацию дальше. Такая модель работает в Австрии, во Франции, в Англии. Когда эта регистрация происходит, происходит создание так называемых "кладбищ информации". То есть эти реестры совершенно бесконечны. И действительно, используется очень небольшая их часть. И новейшее состояние российского законодательства -- здесь тоже очень много инструкций, касающихся правил регистрации информации, ввода и т.д. В директивах Совета Европы предлагается внутренняя регистрация, которая может быть открыта для внешних наблюдателей. То есть каждая фирма документирует свою деятельность определенным образом, и любой заинтересованный гражданин или властный орган может обратиться к этим сведениям. Каждая фирма становится заинтересованной в учреждении поста внутреннего уполномоченного по защите информации, то есть своего собственного сотрудника, который этим будет заниматься. И то, что касалось вопроса госпожи Петросян. Наша служба будет эффективна, если будут соблюдены два принципа: наличие внешнего посредника, который заботится о соблюдении защиты информации, и наличие внутри фирмы или властной структуры специального сотрудника, который применительно к данной организации, с учетом ее конкретных условий работает над проведением в жизнь требований закона о защите персональных данных и информации. ПЕТРОСЯН М. Е.: Насколько я понимаю, у господина Секей имеется дополнение или возражение? СЕКЕЙ И. (Архив Института "Открытое общество" в Центральном Европейском Университете, советник): Два коротких замечания. Первое. Я наверное немного преувеличил свой скептицизм по поводу роли омбудсмана, но я считаю, что роль омбудсмана в области информатики, хотя и важна, но не самодостаточна. Это всего лишь один аспект проблемы. Уповая только на помощь омбудсмана, мы не решим ничего. Второе замечание. Я считаю, что немецкие уполномоченные не являются собственно омбудсманами, омбудсманами классического типа. Я думаю, что здесь в основу положена совсем другая концепция. Европейский омбудсман -- это совсем другое понятие. Например, если вы возьмете венгерского омбудсмана, у него совсем другие права. И дело не только в различии терминов, но и в функциональных различиях. И конечно, господин Гарстка имеет значительно более широкие полномочия и занимается значительно более широким спектром проблем, чем классический омбудсман, по крайней мере судя по тому, что он нам рассказал. ПЕТРОСЯН М. Е.: Сейчас существует столько вариантов института омбудсмана, что вряд ли можно говорить о классических функциях, о классических полномочиях обмуцмана. Мы наблюдаем довольно широкий спектр: общие омбудсманы, омбудсманы специализированные и так далее и так далее. Господину Гарстка, конечно, виднее, но мне представляется, что в данном случае речь идет о специализированном омбудсмане. ГАРСТКА Х.: Да. В Германии действуют 17 (по числу федеральных земель) уполномоченных по защите персональных данных; каждый из них имеет штат 20 -- 50 сотрудников. Они вынуждены определенным образом кооперироваться и принимать какую-то единую точку зрения, и очень часто возникают дискуссии и обсуждение сложных вопросов. Германия не такое централизованное государство, как, например, Франция. Наши федеральные земли имеют большие права, и соответственно, существует большая возможность расхождения земельных законодательных актов. Здесь, в России, тоже федерация, и тоже могут возникнуть определенные сложности, связанные с прерогативами федерального уровня или уровня субъекта Федерации. ПЕТРОСЯН М. Е.: Спасибо. (Перерыв) |
Московский Либертариум, 1994-2020 |