Іноземний досвід правового регулювання захисту інформації з обмеженим доступом

З проаналізованого матеріалу попередніх підрозділів було з’ясовано, що складовою захисту інформаційних ресурсів є забезпечен­ня захисту інформації з обмеженим доступом. Ця потреба виникає не тільки в Україні - тенденції становлення інформаційного суспільства охоплюють усі країни світу.

особливості розвитку законодавства, що врегульовує суспільні відноси­ни у сфері обігу інформації з обмеженим доступом приватного та публі­чного характеру, в різних країнах різняться. На цю сферу правового ре­гулювання значний вплив здійснюють обрані конкретною країною на­прями міжнародної політики, приєднання чи підтримка окремих міжде­ржавних чи міжурядових утворень. Україна стоїть на шляху інтеграції у міжнародні інформаційні процеси. Національна інформаційна сфера України перебуває у стані активного становлення, гармонійного вклю­чення у глобальний світовий інформаційний простір [429]. Вплив на формування національного інформаційного законодавства, у тому числі й адміністративного деліктного законодавства у сфері обігу інформації з обмеженим доступом, будуть здійснювати існуючі у світі тенденції та традиції.

Останні зміни у законодавстві щодо відмови України від здійснення політики позаблоковості свідчать про поглиблення співпраці України із Організацією Північноатлантичного договору з метою досягнення кри­теріїв, необхідних для набуття членства у цій організації [375]. За таких умов набуває все більшого значення координація діяльності органів ви­конавчої влади, державних засобів масової інформації з питань співро­бітництва з НАТО в інформаційній сфері [375]. Цей вектор розвитку зо­внішньої політики України впливатиме і на правове регулювання сис­теми безпеки інформації як складової частини євроатлантичного безпе- кового простору [361]. Таким чином, основоположними документами, що визначають зміст, характер і створюють договірно-правову основу відносин України з НАТО, є такі, як: Рамковий документ Програми НАТО «Партнерство заради миру» (ПЗМ) (започатковано 10 січня 1994 р., Україна приєдналася 8 лютого 1994 р.) [233], Хартія про особ­ливе партнерство між Україною та НАТО від 9 липня 1997 року [463],

Декларація про її доповнення від 21 серпня 2009 року та Закон України «Про засади внутрішньої і зовнішньої політики» від 1 липня 2010 року [321].

Принципи нормативно-правового регулювання захисту інформації з обмеженим доступом, або - у термінології НАТО - політика інформа­ційної безпеки (Security Of Information policy - далі SOI) регулюються документом

С-М(2002)49. Історично SOI вперше в повному обсязі була викладена в документі, відомому як C-M (55) 15 (Final). Наприкінці 90-х років НАТО розпочало перегляд документа C-M (55) 15 (Final), у результаті чого в 2002 році з'явився документ, тепер відомий як C-M (2002) 49.

Документ C-M (2002) 49 проголошує п’ять основних принципів по­літики безпеки НАТО: «Breadth», «Depth», «Centralization», «Controlled Distribution», «Personnel Controls» [488].

«Принцип широти» (Breadth) вбачає, що держави - члени НАТО беруть зобов'язання регулювати доступ до усіх видів чутливої інформа­ції однаковим способом, незалежно від того, чи належить вона НАТО, чи ні. Така вимога діє на тій підставі, що НАТО має бути впевнено, що кожна країна - член НАТО забезпечує встановлені високі стандарти за­хисту інформації.

На «принципі глибини» (Depth) базується система поділу інформа­ції з обмеженим доступом на рівні і визначення грифів таємності.

«Принцип централізації» (Centralization) має національний і між­урядовий аспекти. На національному рівні принцип базується на вимозі мати в кожній державі - члені НАТО національний уповноважений ор­ган або урядове бюро національної безпеки (national security organization - далі NSO), відповідальне за інформаційну безпеку і підбір персоналу, за збір і реєстрацію повідомлень щодо шпигунства і підрив­ної діяльності. Бюро також має бути наділено повноваженнями контро­лю стану захисту інформації з обмеженим доступом в інших державних і недержавних режимно-секретних органах, організовувати методичну і дослідницьку роботу, сертифікацію засобів захисту інформації. На між­урядовому рівні існує центральний координуючий орган.

ції з обмеженим доступом.

«Принцип управління доступом» (Controlled Distribution) ґрунту­ється на двох правилах. Перший з них - «need-to-know» (потреба знати) полягає в тому, що особи повинні мати доступ до класифікованої інфо­рмації тільки за наявності потреби в такій інформації для виконання своїх прямих службових обов'язків, і доступ не повинен надаватися ли­ше тому, що людина посідає певне службове становище, є керівником. Цей принцип в НАТО вважається фундаментальним. Друге правило є найважливішим в угоді, підписаній членами альянсу ще в січні 1950, та полягає в тому, що інформація не може бути занижена у рівні таємності або розсекречена без згоди сторони, від якої вона отримана.

«Принцип персонального контролю» (Personnel Controls) передба­чає правила вибору кандидатів на надання права доступу до класифіко­ваної інформації. Контроль заснований на перевірці благонадійності, оцінках характеру і способу життя кандидатів.

Попередній аналіз демонструє, що країни Центральної і Східної Європи - члени НАТО - пішли шляхом інкорпорації основних принци­пів політики інформаційної безпеки в національне законодавство. При цьому стало очевидним, за визначенням В.Ю. Артемова, що розходжен­ня в способах здійснення міжнародно-правових норм захисту інформа­ції у внутрішньодержавному праві цих країн залежать не лише від сис­теми їх державного устрою, але й має генетичні корені, обумовлені ди­намікою світових процесів [18, c. 60-61]. Це особливо добре видно на прикладі законодавства Чехії і Словаччини, дуже близьких у культурно- історичному і одночасно дещо віддалених за економічним рівнем країн. Проведений В.Ю. Артемовим детальний аналіз законів щодо захисту інформації цих країн, особливо актуальний з погляду давніх традицій культурних і економічних зв'язків між Україною і цими країнами, про­демонстрував більший ступінь розробленості законодавства про інфор­мацію з обмеженим доступом у Республіці Словаччина [18, c.

За умов позаблокового статусу України В.Ю. Артемов дійшов ви-

сновків, цікавих для розвитку українського законодавства про інформа­цію з обмеженим доступом, зокрема: 1) запровадження міжнародно- правових норм захисту інформації у внутрішньодержавному праві країн - членів НАТО відбувається шляхом інкорпорації основних принципів політики безпеки НАТО в правове поле цих держав; 2) політика безпеки НАТО в частині інформації з обмеженим доступом залишає досить ши­рокі рамки, всередині яких можуть варіюватися конкретні норми націо­нального права; 3) політика безпеки НАТО в частині інформації з обме­женим доступом не залишається постійною і піддається змінам під впливом викликів сьогодення [18, c. 63]. Принципи забезпечення інфо­рмації з обмеженим доступом в країнах НАТО повинні бути запрова­джені й у вітчизняному законодавстві та відображені у Законі України «Про інформацію». Велика кількість правових питань, що потребують врегулювання у сфері обігу інформації з обмеженим доступом, створю­ють передумови про розробку та прийняття Закону України «Про інфо­рмацію з обмеженим доступом» чи відповідного розділу у Кодексі України про інформацію з обмеженим доступом.

Не тільки документи, що регулюють співпрацю з ООН, містять ос­новні засади правового регулювання обігу інформації з обмеженим дос­тупом. Угода між Україною та Європейським Союзом про процедури безпеки, які стосуються обміну інформацією з обмеженим доступом, визначає такі засади використання відповідної інформації: принцип ко­нтролю з боку власника інформації та принцип потреби в доступі за умовами службової діяльності [440].

Важлива роль у міжнародних документах відводиться для узго­дження вітчизняного законодавства із законодавством ЄС щодо проце­дур обміну таємною інформацією та забезпечення конфіденційності пе­рсональних даних [237]. Підґрунтям для розробки та прийняття націо­нального законодавства про захист персональних даних стали такі між­народні документи, як Модельний закон про інформатизацію, інформа­цію та захист інформації, прийнятий на двадцять шостому пленарному засіданні Міжпарламентської асамблеї держав - учасниць СНД у 2005 р. [205] та ратифікована у 2010 році Конвенція про захист осіб у зв'язку з автоматизованою обробкою персональних даних [373].

Принципи, що містяться у Конвенції, уточнюються і розширюються в Директиві 95/46/ЕС Європейського парламенту і Ради від 24.10.1995 «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних» [84] та Директиві 97/66/ЕС Європейського парламенту і Ради від 15.12.1997 «Стосовно обробки персональних да­них і захисту права на невтручання в особисте життя в телекомуніка-

ційному секторі» [428], які наразі не ратифіковані Україною, проте мо­жуть бути використані для удосконалення вітчизняного законодавства.

Відповідно до зазначених документів більшість країн ЄС та СНД видала свої національні закони: щодо діяльності з персональними дани­ми у медичній, статистичній, державній, журналістській, поліцейській та інших сферах.

Закріплення на міжнародному рівні норм, що визначають необхід­ність правового захисту персональних відомостей, відображає сталу те­нденцію в розвитку інформаційних відносин, що виникають у процесі функціонування суб'єктів владних повноважень, а саме збільшення об­сягів використання персональних даних громадян.

В європейських країнах правовий захист персональних даних здій­снюється на рівні двох законів, що взаємодоповнюються - закон Data Protection Act і закон Information Freedom Act (закон про свободу інфо­рмації). Такі типи законів, як правило, розробляються і приймаються одночасно. В окремих країнах принцип свободи доступу до інформації безпосередньо закладається в положеннях закону Data Protection Act. Закони про захист персональних даних різних країн, як зазначає А.В. Тунік, намагаються охопити усі послідовні етапи циклу, починаю­чи зі збору даних і закінчуючи їх знищенням, інформуванням, участю і контролем зі сторони індивідуума. Розбіжності в національних підхо­дах, що спостерігаються в даний час у законах, законопроектах і зако­нодавчих пропозиціях, стосуються таких аспектів, як масштаб дії зако­нодавчого акта, акцентування в ньому різних елементів системи захис­ту, дотримання вищезазначених принципів, система контролю за вико­нанням законодавства [438, с. 12]. Крім того, можна вказати на розбіж­ності в категоріях даних, що не підлягають розголошенню, в методах забезпечення відкритості та індивідуальної участі. Акцентовано, що ме­ханізми захисту даних, які стосуються приватних осіб, не можуть бути аналогічні тим, що необхідні для захисту даних ділових підприємств, асоціацій і груп, що мають статус юридичної особи. Водночас досвід багатьох країн свідчить, що чітко розмежовувати персональні і непер- сональні дані досить складно. Проаналізувавши правові засади захисту персональних даних в СНД, А.В. Тунік дійшов висновку, що у країнах СНД системою захисту персональних даних обрано закон типу Data Protection Act (закон про захист даних), де обов'язково закріплюються: ознаки персональних даних; права суб'єкта даних у зв'язку з обробкою і використанням даних; правила доступу до чужих персональних даних, їх розкриття і передача; вилучення з правового регулювання даних в ін­тересах державної і суспільної безпеки, у зв'язку з розслідуванням зло-

чинів; заходи правового регулювання збору, збереження, обробки, пе­редачі і використання персональних даних; вимоги до організаційно- технічних заходів по забезпеченню безпеки при їх обробці, використан­ні, передачі та збереженні; норми, що встановлюють відповідальність за порушення принципів захисту даних, тощо [438, с. 11]. На погляд авто­рів, цей закон має багато переваг: він чітко визначає принципи регулю­вання обробки персональних даних, права та обов’язки суб'єктів персо­нальних даних та їх користувачів. Відтак, вважаємо за необхідне ці по­ложення відобразити і у вітчизняному Законі України «Про захист пер­сональних даних».

Дотримання конфіденційності персональних даних є одним із аспе­ктів приватності, визнаного фундаментальним правом людини в Загаль­ній декларації прав людини ООН, Міжнародному пакті про громадянсь­кі й політичні права та в багатьох інших міжнародних і регіональних угодах. Інформаційна приватність включає в себе встановлення правил збору та обігу персональних даних, таких як інформація кредитних установ та медичні записи [280, с. 12]. Виходячи зі змісту відомостей, що складають зазначену інформацію, перелік її користувачів та джерел отримання стає майже невичерпним, що обумовлює включення до ін­формаційних відносин, що виникають з приводу використання персона­льних даних, всіх суб’єктів права.

За даними Харківської правозахисної групи, майже всі країни світу визнають право на приватність безпосередньо у своїх конституціях. На­приклад, основні закони Південної Африки та Угорщини містять у собі спеціальні норми щодо доступу та контролю за інформацією особистого характеру. У багатьох країнах, де приватність не визнано безпосередньо у конституції, наприклад Сполучених Штатах, Ірландії та Індії, для реалі­зації цього права суди застосовують інші норми, зокрема міжнародні до­говори, де визнається право на приватність, такі як Міжнародний пакт про громадянські й політичні права [201] або Європейська конвенція про права людини [142], що є частиною законодавства багатьох країн.

Нині міжнародне законодавство включає приблизно 20 загальноєвропейських конвенцій, директив та рекомендацій із питань захисту персональних даних. Україна 6 липня 2010 р. ратифікувала ба­зові європейські стандарти у сфері захисту персональних даних, зокрема Конвенцію Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних, а також додатковий протокол до неї сто­совно органів нагляду та транскордонних потоків даних, таким чином беручи на себе зобов’язання імплементувати їх положення в українське законодавство [435].

Дослідники Харківської правозахисної групи, вивчивши моделі за­хисту приватності в різних країнах, констатують факт існування декіль­кох загальних моделей захисту приватності, які у деяких країнах можуть використовуватися одночасно. Модель регулювання, що застосовується у Європі, Австралії, Гонконгу, Новій Зеландії, Центральній і Східній Єв­ропі та Канаді полягає в тому, що існує посадова особа (наприклад Упо­вноважений, Омбудсмен, Реєстратор), яка забезпечує виконання поло­жень детально розробленого закону про приватність. Ця посадова особа здійснює нагляд за дотриманням законності та проводить розслідування щодо виявлених порушень, а також відповідає за громадянську освіту та міжнародні стосунки щодо захисту даних та їх передачі. Такої моделі до­тримуються більшість країн, де існують закони про захист даних. Цю модель також обрано Європою для створення нового режиму захисту да­них. Однак коло повноважень таких органів дуже різниться, часто надхо­дять повідомлення про серйозну нестачу засобів, що призводить до неви­конання положень чинного законодавства [280, c. 18].

Як зазначає М. Павлова, протягом багатьох років США та Європа по-різному підходять до захисту особистої інформації. Зараз обидві сто­рони намагаються подолати цей розрив. Так, стосовно загального насе­лення, без прив’язки до займаної посади, у США Конгрес прийняв зако­нодавчі акти, які в окремих випадках обмежують використання персо­нальних даних американців, що містяться в медичних документах, кре­дитних звітах, відеозаписах тощо. З іншого боку, Європейський Союз прийняв більш повну систему правових документів і має загальну дире­ктиву, яка надає громадянам ЄС певні основоположні права, такі як право на отримання копій документів, що містять персональні дані про них, з боку компаній та організацій, що не має аналога у законодавства США, на думку М. Павлової [225]. Підтримують цю позицію і дослід­ники Харківської правозахисної групи, зазначаючи, що Сполучені Шта­ти уникають схвалення загальних принципів захисту даних, надаючи перевагу спеціальним секторальним законодавчим актам, таким як віде- озаписи при укладенні договорів оренди та збереження приватності у фінансових питаннях. У подібних випадках виконання норм законодав­ства забезпечується з допомогою цілого комплексу засобів. Проблема цього підходу полягає в тому, що у разі появи нових технічних засобів виникає потреба в прийнятті нових законів, таким чином не завжди мо­жна забезпечити надійний захист. Відсутність засобів правового захисту генетичної інформації у Сполучених Штатах є кричущим прикладом та­ких недоліків. В інших країнах вузькоспеціалізоване законодавство ви­користовується як засіб посилення законів з широкою сферою правово-

го регулювання, встановлюючи деталі захисту певних категорій інфор­мації, таких як поліцейські досьє або дані про користувачів кредитних установ [275, c. 18].

Пояснювальна записка до Конвенції про охорону осіб при автома­тизованій обробці особистих даних констатує, що існуючі правові сис­теми держав - членів Ради Європи не відповідають повною мірою пра­вилам, які могли б допомогти досягненню цих цілей. Хоча у них є зако­ни про недоторканність особистої сфери, зобов'язаннях, що випливають із заподіяння шкоди, таємності або конфіденційності певної інформації, тим не менше відчувається відсутність загальних правил, що регламен­тують накопичення і використання персональної інформації і, особливо, з питання, яким чином особа може здійснювати контроль над інформа­цією про неї, яка збирається та використовується іншими особами. Складною проблемою збереження персональних даних є також питання передачі персональних даних через кордони різних країн [275].

На території країн Європейського Союзу основним документом, що регулює охорону особистих даних, є міжнародна конвенція про охорону осіб при автоматизованій обробці особистих даних [142], Додатковий протокол до Конвенції про захист осіб у зв'язку з автоматизованою об­робкою персональних даних щодо органів нагляду та транскордонних потоків даних (ETS № 181) [87] і директива 95/46/ES про охорону фізи­чних осіб у зв'язку з обробкою персональних даних та про вільний рух таких даних [347]. Персональні дані включають значний обсяг інформа­ції, який в умовах інформаційного суспільства має тенденцію до розши­рення [50].

Необхідно зазначити, що законодавство України в Законі «Про ін­формацію» визначає особисті дані подібним до законодавства Євросою- зу чином, проте з різницею в тому, що ставить обов'язковою умовою документованість, або публічне оголошення, особистих даних, що в Єв- росоюзі не є обов'язковим.

Як зазначає О. Давиденко, говорячи про відмінність понять «персо­нальні дані», відповідно до законодавства ЄС і європейських країн, слід звернути увагу не на відмінності у формулюваннях цього поняття у різ­них європейських країнах, а на поділ персональних даних на дві групи. Згідно з європейським законодавством персональні дані розділяються на «ідентифікуючі» і «вразливі» дані про особу. До «вразливих» даних відноситься інформація щодо здоров'я, расової та іншої приналежності людини, політичних переконань - саме ця інформація підлягає контро­лю над її використанням та поширенням з боку фізичної особи, щодо якої її зібрано. Ідентифікуюча інформація має більш вільний порядок

звернення, контролюючи мету її збору і право доступу до неї. Таким чином, «вразливі дані» є основною прерогативою захисту, що дає мож­ливість суб'єктам професійної діяльності, пов'язаної з накопиченням пе­рсональних даних, більш вільно, не ускладнюючи технологічний процес обробки, користуватися персональними даними [80].

На цю особливість європейського законодавства звертає увагу і Д. Йовдій, зазначаючи, що згідно із законодавством більшості європей­ських держав персональні дані розділяються за критерієм «чутливості» на дані загального характеру (прізвище, ім'я по батькові, дата і місце народження, громадянство, місце проживання) і «чутливі» (вразливі) персональні дані (дані про стан здоров'я - історія хвороби, діагнози; ет­нічна приналежність, ставлення до релігії, ідентифікаційні коди чи но­мери, відбитки пальців, записи голосу, фотографії, кредитна історія, да­ні про судимість і т.д.). Для чутливих персональних даних передбачено більш високий ступінь захисту. Так, забороняється збирання, зберіган­ня, використання та передача без згоди суб'єкта даних саме чутливих, а не всіх персональних даних [80]. Така класифікація була внесена до За­кону України «Про захист персональних даних» з останніми змінами.

У Чеській Республіці охорону особистих даних регулює окремий закон 101/2000 (останні поправки були введені в дію 1.01.2010), а конт­роль за його дотриманням покладено на Комісію з охорони особистих даних, яка є самостійним органом з вузькою компетенцією (у більшості випадків функція полягає виключно у застосуванні санкцій), але проте активно взаємодіє з республіканської поліцією, БІС (Служба держбез­пеки), що де-факто перетворює її на самостійне відомство (аналог Ро­сійського ФАПСИ). Особливо цікавий той факт, що закон 101/2000 вво­дить поняття «відчутних даних» - тобто даних про переконання, віро­сповідання тощо конкретної особи, і розмежовує ці два схожі на перший погляд поняття.

На практиці, як зазначає Д. Кашицин, проблеми з комісією з охоро­ни особистих даних можуть виникнути навіть в особи, що встановила камеру відеоспостереження у себе в магазині (навіть якщо про це попе­реджені відвідувачі). Найбільш відомим випадком застосування санкції Комісією з охорони особистих даних був штраф приватному охоронно­му підприємству, яке охороняло будівлю радіо «Вільна Європа», за фо­тографування і відеозйомку людей, що проходять біля будівлі. Як наго­лошує юрист Д. Кашицин, правопорушення та санкції у сфері охорони особистих даних в Чехії визначаються не в Кодексі про адміністративні правопорушення, а в законі 101/2000, з чого можна бачити, як серйозно підходить чеське законодавство до охорони особистих даних [124].

Найконсервативніша в цьому відношенні Іспанія вимагає письмової згоди носія практично щодо всього обсягу персональних даних. Однак не слід забувати, що відповідно до ст. 13 Директиви 202/58/ЕС «викори­стання системи автоматичного дозвону, електронної розсилки листів з метою прямого маркетингу може здійснюватися тільки з попередньої згоди суб'єкта». Європейське законодавство, м'яко кажучи, є менш гро­міздким в питанні узгодження права використовувати персональні дані, робить висновок Д. Йовдій [80].

Країни СНД також активно реалізують у своєму законодавстві єв­ропейські положення щодо захисту персональних даних. Частина перша статті 24 Конституції РФ містить норму, згідно з якою «збирання, збері­гання та поширення інформації про приватне життя особи без її згоди не допускається» [148]. Слід зазначити, що на реалізацію зазначеної норми законодавець РФ прийняв ряд системоутворюючих законодавчих актів, серед яких можна визначити Федеральний закон «Про інформацію, ін­форматизацію і захист інформації», а також Федеральний закон «Про участь у міжнародному інформаційному обміні». Прийняття в РФ Зако­ну «Про персональні дані» стало відповіддю законодавчої гілки влади на один із найбільш гострих викликів сучасній Росії - безконтрольний оборот приватних відомостей громадян, неповагу до приватних даних взагалі, а також повсюдне поширення особистих записів росіян у вигля­ді баз даних, наголошує М.О. Шкільов. Цей науковець зазначає, що Фе­деральний закон «Про персональні дані» має величезне соціальне зна­чення. Згідно з дослідженням холдингу ROMIR Monitoring, проведеного в січні 2006 року на замовлення «РІО-Центру», російські громадяни ці­лком і повністю підтримують законодавчу ініціативу влади. Наприклад, лише 3,4% респондентів впевнені в захищеності своїх персональних да­них, а протилежної точки зору - тобто впевненості в повній беззахисно­сті своїх приватних відомостей - дотримуються 24,4% громадян. При цьому 74,1% респондентів підтримали безкомпромісну боротьбу з по­ширенням піратських копій баз даних ГИБДД, операторів зв'язку, БТІ та інших організацій, а 63,3% громадян вважають, що держава просто зо­бов'язана контролювати збір персональних даних комерційними струк­турами. В основі цього дослідження лежить репрезентативна вибірка, що складається з 1,6 тис. осіб. Іншими словами, як зазначає М.О. Шкільов, в РФ вже давно назріла необхідність законодавчого ре­гулювання збору та обробки персональної інформації громадян [477]. Слід звернути увагу на визначення терміна «персональні дані», що міс­титься у Законі РФ «Про персональні дані», синонімами якого у росій­ському законодавстві є такі словосполучення, як приватні відомості, особиста інформація, приватні записи громадян і т.д. На думку авторів, російські законодавці зробили категорію персональних даних максима­льно широкою: «персональні дані - будь-яка інформація, що відносить­ся до особи, що ідентифікована чи ідентифікується на підставі такої ін­формації (суб'єкту персональних даних), у тому числі його прізвище, ім'я, по батькові, рік, місяць, дата і місце народження, адреса, сімейний, соціальне, майнове положення, освіта, професія, доходи, інша інформа­ція» [212]. На думку експертів компанії InfoWatch, поняття, що захи­щаються законом приватних відомостей в Росії, набагато ширше, ніж в Європі або США [477].

У Республіці Казахстан (РК) також ведеться активна робота з підго­товки закону про персональні дані. Проект відповідного Закону [100] був внесений на розгляд Мажилісу Парламенту РК Постановою Уряду РК від 29 березня 2012 р. № 372. Поняття «персональні дані» зазнало зміни в законопроекті 2012 р. До переліку окремих персональних даних додані національність, стать, місце проживання, абонентський номер за­собу зв'язку. У ньому залишилися прізвище, ім'я, по батькові (у разі йо­го наявності), дата і місце народження, індивідуальний ідентифікацій­ний номер, юридична адреса, номер документа, що засвідчує його осо­бу, сімейне і соціальне положення, наявність рухомого та нерухомого майна, освіта, професія і біометричні персональні дані. Зараз цим прое­ктом персональні дані визначаються як інформація (зафіксована на ма­теріальному носії) про фізичну особу, що дозволяє встановити її особи­стість. До персональних даних відноситься прізвище, ім'я, по батькові (за його наявності), дата і місце народження, індивідуальний ідентифі­каційний номер, юридична адреса, номер документа, що засвідчує осо­бу, сімейне, соціальне становище, наявність рухомого та нерухомого майна, освіта, професія, доходи, спеціальні та біометричні персональні дані [100]. На думку казахських фахівців, прагнення гранично конкре­тизувати й уточнити перелік персональних даних можна сприймати не­однозначно, оскільки сучасні інформаційні системи постійно розвива­ються, з'являються все нові можливості для поповнення їх різного роду інформаційними ресурсами, створюються все нові і нові бази різного роду даних. Більш логічним видається підхід, коли в поняття «персона­льні дані» включається будь-яка інформація, що відноситься до іденти­фікованого чи такого, що ідентифікується, суб'єкта персональних даних, обробка та використання якої обмежуються цілями, для яких вони зби­раються. Вичерпний перелік, як вважають казахські юристи, не повинен встановлюватися законом, оскільки будь-яке обмеження змісту персо­нальних даних виллється в обмеження прав суб'єкта персональних да-

них [41]. Такий підхід присутній, наприклад, в російському федераль­ному Законі від 27 липня 2006 року № 152-ФЗ «Про персональні дані» [212]. Міжнародному підходу не відповідає, наголошують казахські фа­хівці, видалення ще із законопроекту 2011 р. поняття «спеціальні кате­горії персональних даних», що включає персональні дані про расової, національної належності, наявності судимості, політичних поглядах, ре­лігійних чи філософських переконаннях, членстві у професійній спілці, стан здоров'я, інтимного життя. За сформованою міжнародною практи­кою, вони відносяться до категорії особливих персональних даних, яким надається особливий, посилений режим. Розглянутий досвід іноземних країн щодо правового регулювання використання персональних даних, у тому числі в адміністративних відносинах, свідчить про прогресив­ність українського законодавства про захист персональних даних.

Персональні дані є одним із видів інформації з обмеженим досту­пом, що підлягає адміністративно-правовій охороні як в Україні, так і в інших країнах. Персональні дані як вид інформації входять до інших видів інформації з обмеженим доступом і тоді набувають подвійного характеру як складова того виду інформації з обмеженим доступом, до якої були включені. Систему інформації з обмеженим доступом, що пі­длягає адміністративно-правовому захисту, нами було розглянуто у під­розділі 1.2. Основними видами інформації з обмеженим доступом, що представляють приватну та публічну сферу інформаційних відносин кожної країни, є державна таємниця та комерційна таємниця. Правово­му врегулюванню захисту саме цих видів інформації приділена значна увага законодавців інших країн.

У законодавстві інших країн аналогами комерційної таємниці є такі поняття, як «комерційні секрети», «ділові секрети», «виробничі секре­ти», «торгівельні секрети». Зокрема, в США під поняттям «діловий сек­рет» розуміють різноманітні види технічної інформації (формули, обла­днання, методи, техніку і способи виробництва); в Японії - способи ви­робництва, продажу або іншу інформацію про технологію та бізнес то­що. Поняття «виробничі секрети» визначено в ФРН як креслення, реце­птура та інші письмові відомості, сукупність виробничого досвіду або інший факт, пов’язаний з виробництвом, в тому числі знання і досвід спеціалістів виробників, комерційні знання та досвід. До торгівельних секретів у Великобританії, США, Японії відносять інформацію, що при­датна для промислового або комерційного використання, інформацію про способи виробництва, продажу тощо, а також інформацію про тех­нології або бізнес [125, c. 283].

У США, як зазначає С. Князєв, можливо виділити два основних

суб'єкта, які визначають інформаційну політику в країні. До першого належить уряд, що вирішує всі питання, пов'язані із обмеженням досту­пу до інформації, яка має оборонне, політичне, науково-технічне й інше важливе значення для національної безпеки. Його діяльність регламен­тується в директивах президента США й виданих на підставі них зако­нів, таких як, наприклад, «Про торгівлю зброєю», «Про контроль над озброєнням», «Про шпигунство», «Про атомну енергію» й інших. Дру­гий суб'єкт - акціонерні й приватні фірми, компанії, які захищають ін­формацію, виходячи зі своїх комерційних міркувань. Витік комерційних секретів американських компаній розглядається зараз як такий самий удар «по національній безпеці, яким раніше вважались випадки, коли до рук іноземних агентів потрапляли відомості про нову систему зброї» [127, c. 96]. Цікавим в напрямку запозичення для удосконалення вітчиз­няного законодавства про інформацію з обмеженим доступом є введен­ня у США ще в 1986 році нової категорії інформації, що підлягає захис­ту, - «потенційно конфіденційні відомості». За визначенням С. Князєва, йдеться про несекретні й неконфіденційні дані, які за допомогою порів­няння й компіляції можуть перетворитися на «конфіденційну інформа­цію». На практиці в інтересах національної безпеки США нерідко засто­совують обмеження в доступі до науково-технічної інформації як спробі закріпити переваги, які можуть дати ті або інші відкриття й винаходи [127, c. 97]. На погляд авторів, зміна державної політики України саме в такому напрямку щодо забезпечення високого рівня захисту комерцій­ної таємниці та науково-технічної інформації на практиці також мала б позитивний економічний ефект.

У ФРН вдосконалення захисту інформації з обмеженим доступом здійснюється за такими напрямами: вдосконалення законодавства в га­лузі захисту державної таємниці і секретів фірм; посилення органів контррозвідки й надання їм більших повноважень, у тому числі в облас­ті захисту державної таємниці; створення організацій «самодопомоги» у промисловості й розгортання їхньої діяльності. Основні положення чинного в ФРН законодавства щодо боротьби з розкраданням секретів виробництва у сфері промисловості й торгівлі (промислове шпигунство) сформульовані в ряді окремих статей і параграфів у різних частинах ко­дексу законів. До цих законів відносяться: «Закон про боротьбу з несу­млінною конкуренцією», «Постанова про боротьбу з підкупом непоса- дових осіб», «Федеральний закон про охорону даних» тощо. Ще одним напрямом захисту інформації з обмеженим доступом в ФРН, як зазначає С. Князєв, є створення об'єднаннями промисловців так званих організа­цій «самодопомоги» і розгортання їх діяльності [127, c. 97].

Водночас у ФРН величезне значення надається правоохоронній дія­льності та кваліфікованій юридичній допомозі населенню, яка немож­лива без адвокатури і адвокатської таємниці, яка є одним із проявів не­залежності адвоката і необхідною умовою реалізації ним найважливі­ших професійних функцій судового представництва та захисту. Адво­катська таємниця, як зазначає Ю.С. Пилипенко, - це те, без чого адво­катська діяльність трансформується в суто консультаційну, та суттєва ознака, без якої і саме явище втрачає свою суть, свою змістовну сторону [236, с. 16]. У ФРН, згідно з п. 2 параграфа 43а Федерального положен­ня про адвокатів, адвокат зобов'язаний зберігати таємницю, яка поши­рюється на все, що йому стало відомо при виконанні його професійних обов’язків. Захисту конфіденційної інформації присвячений і параграф 2 Положення про професії адвокатів, згідно з першим пунктом якого «в адвоката є право і обов'язок дотримуватися конфіденційності». Адво­катську таємницю Німеччини охороняють і норми кримінального зако­нодавства [157, с. 18].

Німецьке право, так само як і українське законодавство, має суворі вимоги до охорони конфіденційності переговорів так званих носіїв про­фесійної таємниці - осіб з духовним саном чи юристів, особливо адво­катів з кримінального права. Однак розшукові органи України та Феде­ративної Республіки Німеччина нерідко порушують закон, прослухову- ючи телефони юристів і застосовуючи зібрані відомості в інтересах слідства. Німецькі правозахисники вважають, що прослуховування не тільки порушить довіру підзахисного до адвокатської роботи, а стане руйнівним для самої професійної діяльності захисника [91]. Таким чи­ном, дія правового режиму адвокатської таємниці як в Україні, так і у ФРН поширюється не тільки на адвокатів, але також і на працівників правоохоронних органів.

Як один з напрямів вивчення шляхів удосконалення адміністратив­ного деліктного законодавства у сфері обігу інформації з обмеженим доступом нами використовувалося порівняння норм КУпАП та КК України. Цікавим у цьому напрямку є ознайомлення із аналогічним дос­відом інших країн, наприклад Іспанії, Італії, Голландії, Китайської На­родної Республіки. Так, у КК Іспанії правовому захисту недоторканнос­ті приватного життя відведено гл. 1 «Розкриття і розповсюдження таєм­них відомостей» (ст. 197- 201).

Під таємними відомостями розуміються відомості особистого і сі­мейного характеру (п. 2 ст. 197). Особливо виділена відповідальність за розкриття відомостей особистого характеру, до яких віднесені ідеологія, релігія, вірування, стан здоров'я, походження, сексуальне життя (ч. 5 ст. 197). Під розкриттям таємних відомостей про приватне життя іншої особи без її відома розуміється заволодіння її паперами, листами, пові­домленнями електронною поштою чи іншими документами, перехоплен­ня її телефонних переговорів, використання різних технічних засобів для прослуховування, передачі, запису чи відтворення звуку чи зображення або інші засоби зв'язку (ч. 1 ст. 197). Передбачено відповідальність за за­значені діяння посадових осіб, а також осіб, чиїм професійним обов'яз­ком є охорона секретів інших осіб (ч. 1 ст. 199). У ст. 201 передбачено ві­дповідальність за зазначені діяння посадових осіб, а також осіб, чиїм професійним обов'язком є охорона секретів інших осіб (ч. 1 ст. 199). Кримінальну відповідальність за розголошення таємниці усиновлення (удочеріння) у КК Іспанії не передбачено. Відповідальність за посягання на комерційну таємницю передбачено у трьох статтях КК Іспанії (ст. 278­280). Збирання з метою розповсюдження комерційної таємниці будь- яким способом - заволодіння відомостями, письмовими чи електронними документами, інформаційними пристроями чи іншими об'єктами, або ви­користання засобів, зазначених у ст. 197 (різні технічні засоби негласного одержання інформації), являє собою самостійний склад, передбачений у ст. 278. Відповідальність за розповсюдження, видачу комерційної таєм­ниці особою, що за законом чи договірним зобов'язанням має обов'язок охороняти її, передбачена в ст. 279. Відмінною рисою захисту комерцій­ної таємниці за КК Іспанії є те, що в ст. 280 передбачено відповідальність особи, що знає про незаконне походження (одержання) комерційної тає­мниці і вчиняє будь-яку дію, передбачену в ст. 278, 279 (збирання, одер­жання з метою розголошення або розголошення чи видача). Кримінальну відповідальність за незаконне одержання і розголошення банківської та­ємниці в КК Іспанії не передбачено.

У главі «Про зраду» сформульовані статті, що передбачають відпо­відальність за видачу військових секретів, державну зраду і шпигунство. Під державною зрадою розуміється вчинення громадянином Іспанії дій з метою надання послуг іноземній державі, міжнародній асоціації чи ор­ганізації шляхом підробки, перешкоджання розкриттю інформації, обу­мовленої як закритої чи секретної, що може завдати шкоди національній безпеці країни (ст. 584). Під шпигунством розуміється здійснення зазна­чених вище дій іноземцем, що знаходиться в Іспанії, причому покарання за вчинене призначається на ступінь нижче, ніж за ті ж дії громадянину Іспанії, за винятком правил, установлених договорами чи міжнародним правом, що стосуються дипломатів, посадових осіб, консулів і міжнаро­дних організацій (ст. 586). Відповідальність за посягання на державну і службову таємниці передбачено в главі «Про віроломство в збереженні

документів і порушенні таємниць» (ст. 413-418). Під службовою таєм­ницею розуміються відомості, доступ до яких обмежений компетентною владою. Суб'єктами поширення службової чи державної таємниці мо­жуть бути як посадові і державні особи, що працюють, так і приватні особи. Особливістю розглянутих складів є те, що посадова особа чи державний службовець несе відповідальність не тільки за розголошення секретних та інших відомостей (ст. 417), але і за навмисне знищення, приведення в непридатність документів, утрату (ст. 413, 414). Відпові­дальність настає й у випадку, якщо посадова особа чи державний служ­бовець навмисно і без необхідних повноважень дозволить доступ до се­кретної документації, збереження якої на нього покладене (ст. 425). Приватна особа несе відповідальність у випадку використання для себе чи для третьої особи секретної чи виняткової інформації, яку вона оде­ржала від державної організації, де служить, чи посадової особи (ст. 418) [444, c. 66-68, 89-90, 130-131, 164-165, 176-178].

Італійський КК також має свої особливості у встановленні криміна­льної відповідальності за злочини, що посягають на таємницю. За ство­рення й експлуатацію комп'ютерної бази даних персонального характе­ру без відповідної реєстрації, відповідно до законодавства Італійської Республіки про захист особистої таємниці, передбачено кримінальну ві­дповідальність у вигляді тюремного ув'язнення на строк від шести міся­ців до трьох років і штраф від 200 000 до 2 000 000 лір.

Взагалі проблема захисту приватного життя громадян має у цій кра­їні багату історію, як зазначають Д.П. Альошин та М.В. Рудик [12]. Іта­лійський кримінальний кодекс 1930 р. містить цілий розділ, що описує склади злочинів, які посягають на недоторканність особистої таємниці. Це і неправомірне ознайомлення зі змістом кореспонденції, і її розго­лошення. Аналогічні покарання передбачено і за неправомірні дії щодо телеграфних повідомлень. Окремо кваліфікується вчинення діянь щодо розголошення поштової та іншої кореспонденції. При цьому чітко про­водиться межа, у тому числі і за рівнем санкції, між ознайомленням із захищеним (законвертованим) і відкритим листуванням. Виділяється також окремий склад «Розголошення таємних документів», під поняття яких підпадають приватні документи, що не є кореспонденцією.

Так, у КК Італії в окремій главі передбачено відповідальність за по­сягання на таємницю приватного життя і комерційну (промислову) тає­мницю - «Про злочини, що порушують недоторканність особистих тає­мниць» (ст. 616-623). Відмінність полягає в тому, що в італійському КК відповідальність за порушення таємниці кореспонденції передбачена в п'яти статтях (ст. 616-620) - за порушення, викрадення, знищення коре-

спонденції, не адресованої винній особі, без настання шкідливих нас­лідків (ч. 1) і з заподіянням шкоди потерпілому (ч. 2 ст. 616). Розголо­шення змісту кореспонденції, у випадку ознайомлення з нею «недобро­совісним» (незаконним) шляхом, є злочинним і передбачене в ст. 618. У цій же статті зазначається, що «злочинець підлягає покаранню за скар­гою потерпілого». Відповідальність за порушення, викрадення і розго­лошення чужої кореспонденції з використанням службового становища особою, що працює на пошті, телеграфі, яка знала в силу свого стано­вища зміст відкритої кореспонденції, телеграфного повідомлення чи те­лефонної розмови, передбачено в ст. 619-620. Відмітною рисою право­вого захисту недоторканності приватного життя по КК Італії є те, що в ньому передбачено відповідальність тільки за розголошення змісту тає­мних документів (ст. 621), поєднане із заподіянням шкідливих наслід­ків, водночас не є злочинним незаконне збирання відомостей, що стано­влять особисту чи сімейну таємницю конкретної особи.

У КК Італії відсутня стаття, що передбачає відповідальність за роз­голошення таємниці усиновлення, однак передбачено відповідальність за розголошення професійних таємниць (ст. 622). Відповідальність за посягання на комерційну таємницю, на відміну від КК України, також має відмітні риси, що виражаються в тому, що, по-перше, у КК Італії ві­дповідальність настає тільки за розголошення промислових (комерцій­них) таємниць особою, якій дана таємниця довірена у зв'язку зі службо­вим становищем (ст. 623, у примітці якої говориться про окремі випад­ки, тобто не є суб'єктами даного складу державні службовці, що несуть відповідальність за розголошення промислових секретів, котрі можна віднести до категорії службових таємниць за ст. 326 «Розголошення службових таємниць»). По-друге, за ст. 623 відповідальність настає за розголошення не тільки промислової таємниці, але і за розголошення відомостей про наукові відкриття, винаходи, промислові прийоми. По- третє, відповідно до ст. 623 КК Італії злочин вважається закінченим із моменту розголошення наукових чи промислових таємниць, незалежно від настання наслідків, у той час як за КК України для кваліфікації зло­чину необхідно, щоб незаконні дії, пов'язані з розголошенням чи вико­ристання відомостей, що складають комерційну таємницю, завдали ве­ликої шкоди. Кримінальної відповідальності за посягання на банківську таємницю в КК Італії окремо не передбачено.

У КК Італії передбачено відповідальність за розголошення службо­вої таємниці посадовою особою чи особою, що виконує публічну службу (ст. 326). Розголошення службової таємниці здійснюється винною осо­бою при порушенні обов'язків, пов'язаних з її функціями чи службою,

при зловживанні своїм становищем, а також якщо діяльність винної осо­би будь-яким чином сприятиме розголошенню цих відомостей. Зазначені дії визнаються злочинними, якщо вони вчинені навмисно. У цій же статті передбачена відповідальність у випадку, якщо сприяння розголошенню службової таємниці було тільки необережним (ч. 2 ст. 326).

У КК Італії, порівняно з КК України, значно більше статей, що пе­редбачають відповідальність за посягання на державну таємницю. Так, відповідальність за шпигунство в КК Італії передбачено в чотирьох статтях (ст. 257-260). Так, у ст. 257 «Політичне чи військове шпигунст­во» передбачено відповідальність за збирання відомостей, які в інте­ресах державної безпеки чи взагалі в політичних, військових інтересах держави як внутрішнього, так і міжнародного характеру, повинні зали­шатися в таємниці. Передбачено кваліфікуючі ознаки - дії зі збирання в інтересах держави, що веде війну з Італією, і ті ж дії, що поставили у важкий стан воєнні операції. У ст. 258 передбачено відповідальність за добування відомостей, які не підлягають розголошенню. Відмітною ри­сою КК Італії є те, що в ньому передбачено відповідальність за шпигун­ство - збирання відомостей, що складають державну таємницю й інші відомості, передбачені у ст. 258, вчинене з необережності (ст. 259 «Нео­бережне сприяння»). Передбачено в окремій статті відповідальність за «таємне проникнення в місця військового характеру і неправомірне за- володіння засобами шпигунства» (ст. 260). Кваліфікуючою ознакою да­ної статті є вчинення зазначених дій під час війни. У розглянутих стат­тях КК Італії суб'єкт не конкретизовано, отже, ним може бути як грома­дянин Італії, так і іноземець та особа без громадянства.

КК Італії передбачає не тільки відповідальність за розголошення державної таємниці (навмисне чи з необережності), але і відповідаль­ність за розголошення відомостей, які не підлягають оголошенню (забо­ронених компетентною владою), а також за використання державних таємниць у своїх чи чужих інтересах (ст. 261-263), причому в останньо­му випадку (ст. 263) конкретизовано предмет використання - винахід, наукові відкриття, нові промислові прийоми, що в інтересах державної безпеки повинні залишатися в таємниці [111, c. 61-63, 137-138].

Досить суворо ставляться до спроб неправомірного доступу до ко­респонденції норвезькі законодавці. Відповідно до ст. 145 КК цієї краї­ни будь-яка особа, що протиправно ознайомиться зі змістом приватного листа або отримає доступ до приміщень іншої особи, підлягає накла­денню штрафу чи тюремному ув'язненню на строк, що не перевищує шести років. Подібне покарання поширюється на будь-яку особу, що, порушивши захист, одержує неправомірний доступ до даних, накопиче-

них чи розповсюджуваних електронним та іншим технічним способом.

У главі «Розголошення таємниці» КК Голландії передбачено відпо­відальність за навмисне розголошення таємниці особою, що зобов'язана її зберігати в силу свого посадового становища чи професії (ст. 272). У частині другій даної статті зазначається, що особа, яка розголосила тає­мницю, піддається кримінальному переслідуванню тільки після скарги потерпілого. У ст. 272 передбачено відповідальність за розголошення комерційної таємниці (ч. 1) і за використання даної інформації, що спричинило збиток її власнику [443, c. 178-179].

Таким чином, у КК Голландії не передбачена кримінальна відпові­дальність за незаконне одержання конфіденційних відомостей, причому зазначені в ст. 272 відомості розглядаються як професійна чи службова таємниця. Відповідальність може настати тільки за розголошення коме­рційної таємниці. Відповідальність за незаконне одержання чи розголо­шення банківської таємниці в КК Голландії окремо не передбачено. Ві­дповідальність за надання конфіденційної інформації, що становить ін­терес для держави чи його союзників, передбачено в ст. 98, 98 «а», 98 «б», 98 «з» КК Голландії. У ст. 103 «а» закріплено положення, відповід­но до якого особа не несе кримінальної відповідальності, якщо вона об­ґрунтовано переконана, що, виконуючи дію з надання допомоги ворогу у воєнний час, не заподіює шкоду своїй державі [443, c. 35-39].

У КК Китайської Народної Республіки передбачено відповідаль­ність за заподіяння шкоди суверенітету КНР, її територіальній ціліснос­ті і безпеці, скоєне за змовою з іноземною державою (ст. 102), а також за надання матеріальної допомоги організаціям і приватним особам, вчинення дій, передбачених у ст. 102 (ст. 107). Інтерес становить ст. 109, у якій передбачено відповідальність працівників державних ор­ганів, які володіють державними таємницями, що залишили країну або залишилися за кордоном. Відповідальність за шпигунство настає при здійсненні таких дій: 1) членство в шпигунській організації чи одержан­ня завдань від шпигунської організації чи її представника; 2) зазначення цілей бомбардування. У ст. 111 передбачено відповідальність за неза­конну передачу іноземним структурам чи організаціям, приватним осо­бам матеріалів, що являють собою державну таємницю чи іншу держав­ну інформацію. Під іншою державною інформацією розуміється служ­бова таємниця, а також будь-яка інша інформація, розголошення якої може заподіяти шкоду суверенітету КНР, її територіальній цілісності і безпеці. Способи здійснення даного злочину - крадіжка інформації, її одержання шляхом підкупу, шпигунство. Перелік способів одержання зазначеної інформації є вичерпним. Таким чином, у КК КНР відсутня

стаття, що передбачає відповідальність за втрату документів, що містять державну таємницю. Усі злочини, передбачені у главі «Злочини проти державної безпеки» КК КНР, вчиняються тільки навмисно (ст. 102-113) [445, c. 35-39].

Таким чином, запровадження у вітчизняне законодавство про інфо­рмацію з обмеженим доступом принципів ООН та ЄС щодо захисту ін­формації з обмеженим доступом, на наш погляд, потребує внесення змін до ст. 4 Закону України «Про доступ до публічної інформації» шляхом доповнення її частиною другою, де слід зазначити засади використання інформації з обмеженим доступом у роботі суб'єктів владних повнова­жень: 1) інформація з обмеженим доступом повинна бути отримана і оброблена законним чином на підставі чинного законодавства; 2) інфо­рмація з обмеженим доступом суб'єктів приватного права включаються до державних баз даних на підставі вільної згоди суб'єкта, вираженого в письмовій формі; 3) інформація з обмеженим доступом повинна нако­пичуватися для точно визначених і законних цілей, не використовувати­ся в суперечності з цими цілями і не бути надмірною по відношенню до них; 4) інформація з обмеженим доступом в разі необхідності може оновлюватися та передаватись іншим суб'єктам владних повноважень на підставі вільної згоди суб'єкта (власника, законного користувача ін­формації), вираженої в письмовій формі; 5) інформація з обмеженим до­ступом повинна зберігатися не довше, ніж цього вимагає мета, для якої вона накопичуються, і підлягає знищенню після досягнення цієї мети або при зникненні потреби; 6) слід вживати заходів для охорони інфор­мації з обмеженим доступом, що виключають випадкове або несанкціо­новане руйнування або випадкову її втрату, а також несанкціонований доступ до неї, зміну, блокування або передачу даних; 7) забезпечення безперервного захисту інформації з обмеженим доступом; 8) відповіда­льність за порушення режиму інформації з обмеженим доступом та ві­дшкодування завданої шкоди.

3.3.