«Только дураки учатся на своих ошибках. Я же предпочитаю учиться на ошибках других».
Эта знаменитая фраза, авторство которой приписывается известному политическому деятелю XIX века, «железному канцлеру» Германской империи Отто фон Бисмарку, очень точно отражает западный подход к реализации любых системообразующих мероприятий, будь то создание нового производства или нового государственного союза. Опыт предыдущих поколений и лучшие практики, помноженные на предъявляемые современным миром жесткие требования к непрерывной модернизации устоявшихся принципов, дают западным странам квинтэссенцию того, что в России сейчас принято называть «инновационная экономика».
Искреннее желание догнать отходящий на Европу паровоз и тяжелое осознание необходимости соответствовать требованиям «инновационной экономики» в последнее время все больше и больше вынуждает российских чиновников заниматься развитием высокотехнологичных отраслей, информационных технологий и телекоммуникаций. Как следствие, приходится больше внимания уделять проблематике защиты информации, одним из важнейших аспектов которой во всем мире давно уже является защита персональных данных физических лиц.
К предстоящему пятилетнему юбилею ратификации Россией Конвенции совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» и в преддверие второго чтения законопроекта, вносящего существенные коррективы в действующий Федеральный закон «О персональных данных» № 152-ФЗ, авторы этого цикла статей решили приурочить небольшое исследование многолетнего европейского и самобытного русского пути. Тем более, вопросов накопилось много — о том, что есть и что, возможно, будет.
Машина времени: в Европу...
Принято считать, что проблематика защиты персональных данных в западных странах с развитой экономикой вышла на межгосударственный уровень вместе с развитием технического прогресса — во второй половине XX века. Объясняется это достаточно просто: стремительно развивавшиеся технологии обмена информацией, словно ластиком, стирали на карте привычные границы и открывали поистине безграничные возможности для ведения бизнеса; одновременно с этим росло и число злоупотреблений в коммерческой деятельности, прежде всего путем незаконного использования персональных данных.
Между тем, анализ исторических корней проблематики защиты персональных данных отсылает нас к классическому Римскому праву, точнее — Закону 12 таблиц (450 год до н.э.), где впервые появились положения о защите чести человека. Трансформировавшись во времена средневековья и, приобретя новый смысл вначале периода Нового времени, к XVIII веку эти положения обретают новый смысл в законодательстве Швейцарии, гарантирующем обеспечение права имени и защиты права портрета. Базовые принципы защиты прав личности стали формироваться в конце XIX века: в законодательстве европейских государств они были заложены как право защиты «секретной сферы», в законодательстве США — это право защиты частной жизни, наследованное во многом от швейцарского права защиты портрета (позднее это право было приведено в соответствие с идеологией «старого света»).
В начале 20 века, во времена первой и второй мировых войн, ситуация с соблюдением прав личности и частной жизни, по понятным причинам, серьезно ухудшилась, и поэтому 10 декабря 1948 года Генеральная ассамблея ООН принимает Всеобщую Декларацию прав человека, в 12 статье которой был закреплен следующий принцип: «никто не может подвергаться произвольному вмешательству в личную и семейную жизнь человека, произвольным посягательствам на неприкосновенность его жилища, тайну его корреспонденции или на его честь и репутацию». Логическое развитие этот принцип получил в принятой Советом Европы 4 ноября 1950 года в Риме Конвенции о защите прав человека и основных свобод: «каждый имеет право на уважение его личной и семейной жизни, его жилища и его корреспонденции».
Говоря о последующем становлении правовой базы в области защиты персональных данных в европейских государствах и в Евросоюзе, а также о хронологии разработки соответствующих нормативных документов, аналитики склонны выделять несколько поколений в зависимости от степени их зрелости.
Начало было положено во второй половине 1960-х годов — именно в этот период, по мнению исследователей проблем глобализации, развитие мирового сообщества достигло такого уровня, что события, описанные Дж. Оруэллом в 1949 году в романе-антиутопии «1984», очень многим начали казаться весьма реальными. Для того чтобы управлять развивающимся глобальным социальным государством «всеобщего благоденствия», бюрократия нуждалась в огромном количестве информации и новых технологиях для ее обработки. Именно в этот период информационные монстры — государство и международные корпорации — начали использовать в своей деятельности ЭВМ.
Тем не менее, вычислительные мощности в тот период были весьма ограничены, а владение ими было очень дорогим удовольствием даже для крупнейших компаний. В этих условиях решение нашлось достаточно быстро: хранить все данные централизованно в одной базе, а пользователям этих данных предоставлять удаленный доступ посредством компьютерных терминалов. Для подключения различных существующих банков данных к централизованной системе было предложено использовать единую систему идентификаторов, администрирование которой брало на себя государство. Инновационная идея «интегрированного управления данными» привела к тому, что в Германии — первой из стран Европы — начались дебаты о проблемах обеспечения защиты личных данных в новых условиях, результатом которых стал закон Германии «О защите данных».
Таким образом, первое поколение законов о защите личных данных родилось в период, когда вычислительные системы использовались немногочисленными, и прежде всего, государственными контроллерами данных (термин является аналогом отечественного определения «оператор»). Основная угроза, по мнению авторов законов первого поколения, заключалась в том, что некое государство, получив доступ ко всем информационным банкам данных, превратится в информационную супердержаву. Поэтому, формулируя требования законодательства, авторы старались особое внимание уделить новым технологиям обработки информации и сделать их применение управляемым и прозрачным.
Главным фактором, благодаря которому родилось второе поколение законодательства о защите персональных данных, стало решение Федерального конституционного суда Германии, объявившего в декабре 1983 года некоторые изменения, внесенные в этом же году в Закон о защите данных, не соответствующими Конституции Германии.
Общий смысл этого решения сводился к тому, что, согласно Конституции, каждому человеку гарантируется право самоопределения в использовании, передаче и раскрытии его личных данных. Суд также постановил, что право самоопределения должно быть надлежащим образом обеспечено и при электронной обработке личных данных, поскольку «нет никакой необходимости отказываться от современных технологий и переходить на бумажные картотеки». Тем не менее, в случае электронной обработки возникают существенные угрозы для права самоопределения, так как обладатель этого права не может с достаточной достоверностью знать, что в конкретный момент происходит с его данными, и поэтому личные данные, обрабатываемые в электронной форме, должны быть защищены более надежно, чем бумажные картотеки. Это решение оказало огромное влияние на законы целого ряда европейских государств: принципы, заложенные в нем, появляются в законодательстве о защите личных данных Австрии (1986 год), Норвегии, Финляндии, Дании, Германии (1990 год) и Венгрии (1992 год).
Характеризуя второе поколение законодательства о защите личных данных (1990-е годы), можно отметить один наиважнейший фактор: законодательство этого поколения гарантирует человеку соблюдение его прав в отношении личных данных в процессе всего цикла их обработки, и не ограничивается отдельными его элементами. Законодатели поняли, что решение гражданина не может быть ограничено его согласием или несогласием в отношении автоматизированной обработки данных, так как технологии обработки информации с использованием ЭВМ проникли в общество до такой степени, что несогласие повлечет за собой существенное увеличение стоимости обработки данных, прежде всего для их владельца.
Нормативные акты в отношении защиты личных данных, принимавшиеся в тот период, становились все более абстрактными и отвязанными от конкретных технологических решений: технический прогресс, массовое использование ЭВМ и популяризация компьютерных сетей в скором времени сделали бы прежние методы регулирования невозможными. Именно поэтому законодатели старались максимально обеспечить право человека на самоопределение в отношение своих личных данных, которое, по крайней мере теоретически, наделяет человека способностью отстоять свои права на защиту его данных при любой форме их обработки. Требования к технической защите автоматизированных систем были понижены, и благодаря этому был достигнут оптимальный баланс между эффективностью и безопасностью обработки данных.
В 1974 году в США принимается закон «О правах личности» (The Privacy Act of 1974), а шестью годами позже — закон «О защите личных данных» (Privacy Protection Act of 1980). Потребность в разработке межгосударственных нормативных актов возникла сразу же после принятия национальных законов о защите личных данных в США и Европе, дабы не создавать препятствий для их трансграничной передачи. Первым документом такого уровня стали Рекомендации о защите личных данных при их трансграничной передаче, разработанные Организацией экономического сотрудничества и развития в 1980 году. Первичная цель этого документа — избежать препятствий для полноценного экономического сотрудничества, связанных с необоснованными требованиями к защите личных данных. Поскольку ведущим членом ОСЭР являются США, этот документ воспринимался как некое соглашение между Европой и Америкой: будь на то политическая воля российского руководства, следование концептуальным идеям, изложенным в американском Законе, позволило бы избежать большинства описанных в настоящей статье проблем. Однако близость России к Евросоюзу сыграла в вопросе выбора тренда решающую роль, и потому именно Европейское право принято авторами в качестве эталона для исследования.
Следующим шагом стало принятие в 1981 году Советом Европы Конвенции «О защите прав физических лиц в отношении автоматизированной обработки персональных данных» (далее — Конвенция). Область действия Конвенции распространяется на «персональные файлы данных» и «автоматизированную обработку персональных данных» в общественном и частном секторе. Основным мотивом разработки Конвенции являлась необходимость гармонизации законодательства европейских стран, поэтому в 1981 году Еврокомиссия публикует рекомендации для государств-членов ЕС принимать соответствующие соглашения об использовании Конвенции.
К 1990 году стало ясно, что далеко не все государства Европы хотят принять у себя эту Конвенцию, прежде всего из-за серьезных противоречий в локальных нормативных актах: Великобритания, например, была категорически против Конвенции и вообще какого-либо регулирования вопросов защиты персональных данных на уровне ЕС. Это означало, что основная цель Конвенции — гармонизация законодательства — выполнена не была. Именно поэтому в 1990 году Еврокомиссия начинает разработку нового документа — Директивы 95/46/ЕС «О защите физических лиц применительно к обработке персональных данных и свободном движении таких данных» (далее — Директива). Основная цель, дважды продекларированная в Директиве, является производной от статьи 100а Соглашения о создании Европейского Экономического Сообщества, а именно — создание единого внутреннего рынка. Директива была принята в 1995 году, и теперь государствам-членам ЕЭС деваться было некуда: все страны-участницы должны были реализовать ее условия к концу 1998 года.
Следует отметить, что Еврокомиссия, несмотря на жесткие требования по срокам принятия Директивы, успела создать мощный институт консультаций и поддержки, а также реализовать механизмы контроля соблюдения установленных и расширенных принципов в сфере защиты персональных данных. Первым практическим воплощением этих механизмов стала созванная в 1996 году Рабочая Группа 29-й статьи, основной целью которой как раз и была гармонизация европейского права в сфере защиты персональных данных.
Третье поколение законодательства о персональных данных представлено в Европе Директивой 2002/5 8/ЕС «Об обработке персональных данных и защите конфиденциальности и личной тайны в сфере электронных коммуникации». Основной тренд этого поколения документов направлен на обеспечение права самоопределения человека при автоматизированной обработке его персональных данных в условиях глобализации современного мира, когда все границы стерты: в Директиве 2002/5 8/ЕС говорится о минимизации персональных данных в пользовательских сетях и их анонимности везде, где это возможно.
На сегодняшний день, Европейское право в области защиты персональных данных, прошедшее через долгий путь становления и модернизации, не прекращающейся и по сей день, является весьма прагматичным: оно дает защиту тем объектам и субъектам, которым эта защита необходима, и ровно настолько, насколько эта защита экономически оправдана. Такой подход оказался крайне эффективным: меры по защите систем обработки персональных данных не кажутся избыточными и, что самое главное, являются весьма действенными: согласно социологическим исследованиям, 80% европейских операторов и субъектов персональных данных считают себя защищенными.
Источник: ibusiness
Теги: ПДн