2. Персональные данные. Другие виды конфиденциальной информации: коммерческая тайна, банковская, служебная, профессиональная тайна и др

Бурное развитие информационных технологий привело к появлению информации, содержащей данные о конкретном лице. Сбор, обработка, использование, хранение этих данных осуществляются, например, в финансовой и налоговой сферах, в сфере пенсионного, социального и медицинского страхования, в оперативно-розыскной деятельности, в трудовой и других областях общественной жизни. Персональные данные являются неотъемлемой частью информационных ресурсов всех уровней-от федерального до муниципальных образований. Интенсивно формируется институт персональных данных как важная составляющая информационного права России.

Основой регулирования правоотношений в сфере персональных данных являются положения ст. 24 Конституции РФ, которые устанавливают, что без согласия лица не допускаются сбор, хранение, использование и распространение информации о его частной жизни. Конституционной обязанностью органов государственной власти и органов местного самоуправления, их должностных лиц является обеспечение возможности каждому ознакомиться с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Среди соответствующих международно-правовых норм следует отметить ст. 8 Конвенции по защите прав человека и основных свобод (ETS N 5), допускающую необходимое в демократическом обществе вмешательство в частную жизнь лица только в интересах национальной безопасности и общественного порядка, экономического благосостояния страны, в целях предотвращения беспорядков или преступлений, для охраны здоровья или нравственности или защиты прав и свобод других лиц (такое вмешательство предусмотрено законом).

Впервые персональные данные как вид документированной информации ограниченного доступа были определены в Федеральном законе от 20.02.1995 N 24-ФЗ "Об информации, информатизации и защите информации" (в наст. время-в ред. от 10.01.2003; далее-Закон об информации). К таким данным относятся сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность. Как информация ограниченного доступа, персональные данные относятся к категории конфиденциальных сведений, что определено не только в Законе об информации, но и в Указе Президента РФ от 06.03.1997 N 188, утвердившем Перечень сведений конфиденциального характера. Не являются персональными данными и, следовательно, конфиденциальной информацией данные о лице, подлежащие распространению в средствах массовой информации в установленных законами случаях.

В редакции Закона об информации от 10.01.2003 положение ст. 11 о деятельности негосударственных организаций и частных лиц, связанных с обработкой и предоставлением пользователям персональных данных, исключено. Установлено, что сбор, хранение, использование и распространение персональных данных, содержащих личную, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, допускаются только с согласия лица либо на основании судебного решения. Новеллой в вышеуказанной редакции является положение об ответственности юридических и физических лиц, владеющих персональными данными, за нарушение режима защиты, обработки и порядка использования этой информации. Законом об информации также закреплены основные права граждан в отношении их персональных данных: это право на доступ к соответствующей информации, на ее уточнение в целях обеспечения полноты и достоверности, на получение сведений о ее использовании. Обязанностями владельцев персональных данных (документированных) является обеспечение соблюдения режима обработки соответствующей информации и правил предоставления информации пользователю.

Институт персональных данных в российском информационном праве формируется за счет норм об информации определенного вида, содержащихся в различных федеральных законах. Объем сведений, позволяющий идентифицировать лицо, определяется в них по-разному. Так, например, Федеральным законом от 07.08.2001 N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем" (в ред. от 30.10.2002) к персональным данным отнесены сведения о документе, удостоверяющем личность, адрес места жительства или пребывания личности. Аналогичные указания содержатся и в Федеральном законе от 01.04.1996 N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования" (в ред. от 31.12.2002). Персональными данными в соответствии с Федеральным законом от 15.11.1997 N 143-ФЗ "Об актах гражданского состояния" (в ред. от 08.12.2003) считаются любые сведения, ставшие известными работнику органа записи актов гражданского состояния при регистрации актов гражданского состояния. В ст. 387 новой редакции Таможенного кодекса РФ, вступившей в силу 1 января 2004 г., предусмотрено право таможенных органов накапливать в отношении физических лиц персональные данные и данные о частоте перемещения ими товаров через границу.

Детально регламентированы правоотношения по поводу персональных данных работника в Трудовом кодексе РФ (глава 14). Объем персональных данных определяется здесь очень широко: это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Она может быть получена только у самого работника или, с его письменного согласия, у третьих лиц. Установлен запрет на получение и обработку персональных данных о политических, религиозных, иных убеждениях работника и о его частной жизни. Данные о членстве его в общественных объединениях или о его профсоюзной деятельности могут собираться, обрабатываться и использоваться только в случаях, установленных законом. Трудовой кодекс РФ содержит также нормы о порядке передачи персональных данных работника: мероприятия по защите данной информации от неправомерного использования или утраты осуществляются за счет средств работодателя. Впервые в Трудовом кодексе РФ (и в российском законодательстве вообще) вводится такое понятие, как "персональные данные оценочного характера". Работник имеет право дополнить их заявлением, выражающим его (работника) собственную точку зрения в отношении такой информации.

Отдельные группы персональных данных могут приобретать правовой режим другого вида информации ограниченного доступа – государственной тайны. Это, в частности, касается персональных данных государственных служащих, внесенных в личные дела и документы учета, на что указано в Федеральном законе от 27.05.2003 N 58-ФЗ "О системе государственной службы в Российской Федерации" (в ред. от 11.11.2003).

Практически во всех законах, содержащих нормы о персональных данных, имеются общие положения об ответственности должностных и иных лиц, владеющих персональными данными, за нарушение режима ограниченного доступа и конфиденциальности в отношении такой информации. Гражданско-правовая ответственность за нарушение нематериальных благ-неприкосновенности частной жизни, личной и семейной тайны и др.-предусмотрена в ст. 150 Гражданского кодекса РФ. Лицо, чьи неимущественные права нарушены, вправе требовать компенсации морального вреда и возмещения убытков. Защита осуществляется и иными способами (ст. 12 ГК РФ). Кодекс РФ об административных правонарушениях содержит новый для данной отрасли законодательства состав правонарушения-это ст. 13.11, предусматривающая ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Уголовное законодательство России не предусматривает специального состава преступления, объектом которого являются правоотношения по поводу персональных данных, однако соответствующие противоправные действия могут охватываться составами статей о преступлениях в сфере компьютерной информации либо составами должностных преступлений. Противоправные действия в отношении персональных данных могут также квалифицироваться как нарушение неприкосновенности частной жизни либо нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Однако необходимость введения соответствующей специальной уголовной ответственности объективно существует.

Законом об информации предусмотрена обязательная сертификация информационных систем, баз и банков данных, предназначенных для информационного обслуживания граждан и организаций. Порядок сертификации определяется соответствующим Постановлением Правительства РФ от 26.06.1995 N 608 (в ред. от 29.03.1999). Деятельность по технической защите конфиденциальной информации подлежит лицензированию в порядке, установленном Постановлением Правительства РФ от 30.04.2002 N 290 (в ред. от 06.02.2003). Органом исполнительной власти, осуществляющим лицензирование указанного вида деятельности, является Гостехкомиссия при Президенте РФ <*>.

Дальнейшее развитие института персональных данных в информационном праве России трудно представить без специального закона. Проект закона "О персональных данных" уже был представлен в Государственную Думу РФ. Представляется, что было бы полезно учесть опыт, который имеется в соответствующем законодательстве зарубежных стран. Так, в Германии право на защиту персональных данных закреплено на конституционном уровне. В Великобритании Актом о защите данных установлен правовой статус персональных данных и основополагающие принципы их обработки. Практически во всех европейских государствах, а также в США, Австралии, Японии и ряде других стран действуют коллегиальные органы, являющиеся негосударственными структурами, в чьи функции входит защита прав субъектов правоотношений по поводу персональных данных и рассмотрение конфликтных ситуаций в этой сфере. Регулярно проводятся международные совещания уполномоченных по защите персональных данных, возглавляющих эти органы.

Отсутствие систематизированного законодательства в сфере персональных данных и специального закона создает состояние правовой незащищенности от несанкционированного доступа к такой информации. На сегодняшний день в российском законодательстве отсутствует и классификация персональных данных, хотя попытка их дифференциации имеет место быть-например, в Трудовом кодексе РФ, где речь идет о так называемых оценочных персональных данных. Между тем зарубежный опыт свидетельствует о целесообразности разделения соответствующей информации на две группы: данные общего характера и особая категория персональных данных, которая определяется как "данные чувствительного свойства" и к которой относится информация о расовом происхождении, политических убеждениях, конфессиональной принадлежности, состоянии здоровья, личных пристрастиях и т.д. Персональные данные второй группы должны иметь особый режим защиты и больший уровень конфиденциальности. Сбор, обработка и использование этих данных должны осуществляться только в силу необходимости. Что касается субъектов правоотношений по поводу персональных данных, то, возможно, в число их можно включить и корпоративные объединения, не имеющие статуса юридического лица, как это сделано в ряде западных стран.

Многократно возрастающий объем информации ограниченного доступа, в том числе и персональных данных, требует особой ответственности при решении вопросов регулирования соответствующих правоотношений. Исходным принципом при этом должно стать обеспечение информационной безопасности гражданина, защита его личных прав в условиях информатизации общества. Использование персональных данных должно служить основной задаче-повышению эффективности функционирования основных институтов государственной власти, поскольку высшая цель государства, закрепленная в Конституции РФ, – признание, соблюдение и защита прав и свобод человека и гражданина.

Банковская и коммерческая тайна. Новеллы в УК РФ коснулись правового регулирования неизвестных нам ранее общественных отношений. В числе таковых нормы, регулирующие отношения, возникающие в процессе владения, использования и распоряжения информацией, представляющей банковскую и коммерческую тайну.

Специфичность рассматриваемой информации предопределяет повышенный интерес к ней со стороны хозяйствующих субъектов, которые стремятся, узнав тайны конкурентов, извлечь из этого немалые выгоды. Не секрет, что и средства массовой информации в погоне за разоблачительными сенсациями готовы представить на наш суд сведения о состоянии банковских счетов тех или иных лиц. Естественно, законный доступ к подобной информации открыт лишь ее собственнику, а в ряде случаев и иным, указанным в законе, лицам и государственным органам. Какие же меры предусмотрел законодатель с тем, чтобы воздействовать на нарушителей данного принципа, и безупречны ли они?

Ответственность за неправомерное получение и разглашение сведений, составляющих коммерческую и банковскую тайну, нашла закрепление в Гражданском кодексе России, принятом в 1994 г., и Уголовном кодексе РФ, принятом в 1996 г.

В ст. 128 ГК РФ в числе объектов гражданских прав, среди прочих, названа информация. Информация же, в соответствии со ст. 139 ГК РФ, составляет коммерческую тайну в случае, когда она имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности.

Отношения банковской тайны урегулированы ст. 857 ГК РФ и ст. 26 Закона РФ "О банках и банковской деятельности". Суть банковской тайны сводится к неразглашению банком сведений, составляющих тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте.

ГК РФ предусматривает ответственность в виде возмещения убытков за действия, направленные на незаконное получение и разглашение информации, представляющей как коммерческую, так и банковскую тайну. И здесь мы сталкиваемся с коллизией межотраслевых правовых норм, так как за те же действия предусмотрена уголовная ответственность по ст. 183 УК РФ.

Справедливости ради следует оговориться, что в отношении ответственности за разглашение банковской тайны такая проблема решается просто. По гражданскому законодательству ее несет юридическое лицо - банк, разглашающий тайну клиента.

Уголовную же ответственность по ст. 183 УК РФ могут нести лишь физические лица. Что касается информации, составляющей банковскую и коммерческую тайну, то остается неясным, нужно ли квалифицировать ее незаконное получение как уголовно наказуемые действия или допустимо не усматривать в данной ситуации наличие состава преступления и рекомендовать потерпевшим разрешать возникший спор в порядке гражданского судопроизводства.

Речь идет о неопределенности "иного незаконного способа" собирания сведений. Ведь обязательность уголовного преследования лиц, собирающих информацию, составляющую банковскую и коммерческую тайну, путем похищения документов, подкупа или угроз, является очевидной.

Для решения данного вопроса, по-видимому, целесообразно было бы исключить из текста диспозиции ч. 1 ст. 183 УК РФ слова: "а равно иным незаконным способом" либо сделать перечень таковых исчерпывающим, включив в него наиболее общественно опасные. В том же случае, если законодатель сочтет возможным разделить ответственность за аналогичные деяния, но совершенные перечисленными в ч. 1 ст. 183 УК РФ способами, от совершенных иным незаконным способом, то в последнем случае было бы желательным указать в диспозиции уголовно - правовой нормы минимальный размер ущерба, причинение которого "приведет ее в действие".

Нельзя обойти вниманием непоследовательность законодателя в отнесении нормы о незаконном получении и разглашении банковской и коммерческой тайны к той или иной главе УК РФ.

Какую цель преследуют лица, незаконно получающие или разглашающие коммерческую или банковскую тайну? Очевидно, корыстную, так как умелое ее использование может привести к получению прибыли.

Признаки противоправности и безвозмездности изъятия таких сведений вместе с материальными носителями, на которых эта информация содержится, как факт изъятия сомнению не подлежат. В ситуациях же, когда сведения были лишь скопированы, изъятие тоже имеет место, так как предметом данного преступления является не носитель информации, а информация как таковая. Причем информация носит характер тайны.

Незаконное копирование (и даже просто доступ к такой информации) приводит к исчезновению тайны (ее важнейшего ценностного признака), а следовательно, к изъятию из фондов собственника части его имущества.

Ведь несмотря на то, что информация, составляющая банковскую или коммерческую тайну, как таковая, не является предметом материальным, она является объектом права собственности и имеет, как уже сказано, действительную или потенциальную коммерческую ценность. Вследствие утечки информации, составляющей банковскую или коммерческую тайну, теряется ее ценность, что может привести к невосполнимому ущербу, который понесут коммерческие организации, банки и их клиенты, которые по праву считаются ее собственниками.

Проблема состоит в том, что преступления, направленные на незаконное получение информации и являющиеся преступлениями против собственности, мы не можем назвать имущественными преступлениями в строгом смысле слова ввиду того, что российское гражданское законодательство не относит информацию к имуществу. В этой связи непоследовательно отнесение к преступлениям против собственности посягательства лишь на одну из ее разновидностей - имущество. Разрешение дилеммы видится либо в замене термина "имущество" в примечании к ст. 158 УК РФ на термин "собственность" законодателем, либо в расширительном толковании имущества правоприменительными органами.

Таким образом, налицо наличие в деянии, предусмотренном ст. 183 УК РФ, всех признаков хищения.

Еще больше убедиться в правоте отстаиваемой позиции позволяет обращение к способам собирания тайной информации, перечисленным в диспозиции ч. 1 ст. 183 УК РФ. Среди них мы обнаруживаем не что иное, как похищение документов. Высказывание угроз и подкуп также свидетельствуют о сходстве способов собирания информации со способами, которыми очень часто совершаются различные формы хищения (кражи с предприятий, на которых подкуплены работники охраны, грабежи, разбои).

Что же касается диспозиции ч. 2 ст. 183 УК РФ, то лица, не изымавшие сведения, составляющие банковскую или коммерческую тайну и которым эта информация была передана, например, в качестве ноу-хау якобы законным ее владельцем, по-видимому, рискуют не только понести гражданско - правовую ответственность в виде возмещения убытков, но и быть подвергнуты уголовному преследованию. В этой связи предлагается сконструировать диспозицию ч. 2 ст. 183 УК РФ следующим образом: "Те же деяния, повлекшие незаконное разглашение или использование сведений, составляющих коммерческую или банковскую тайну, без согласия их владельца, совершенные из корыстной или иной личной заинтересованности". При наличии такой конструкции ч. 2 ст. 183 УК РФ возможность уйти от уголовной ответственности у лиц, использующих в качестве исполнителей преступления, предусмотренного ч. 1 этой же статьи, других лиц, не возникает. Ведь при определенных обстоятельствах заказчики или покупатели сведений будут признаны организаторами или пособниками преступления.

Учитывая вышеперечисленные обстоятельства, можно сделать вывод о желании законодателя выделить неизвестные ранее действовавшему уголовному законодательству составы преступлений в сфере экономики в отдельную главу.

Признав коммерческую и банковскую тайну потенциальным предметом хищения, можно поместить норму, предусмотренную ст. 183 УК РФ (с предложенными корректировками), в главу о преступлениях против собственности так, чтобы ответственность по данной статье УК была предусмотрена отдельно от других форм хищения подобно ст. 164 УК РФ из-за специфичности предмета преступления.