<<
>>

Ответственность за нарушение режима защиты персональных данных

Также, уже с целью защиты интересов лиц, собирающих информацию, целесообразно определить гражданскую ответственность пользователей за предоставление недостоверной информации.

Какая ответственность может наступить за нарушение режима защиты персональных данных? В первую очередь, гражданская и административная.

Последняя, по новому Кодексу Российской Федерации об административных правонарушениях2, который вступает в силу с 1 июля 2002 года, может наступить в случае нарушения установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст. 13.11 Кодекса) и в случае разглашения информации, доступ к которой ограничен федеральным законом (за исключением случаев, когда разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей (ст. 13.14 Кодекса)3.

1 Это может произойти, в частности, в результате публикации персональных данных в средствах массовой информации. См. п. 1 «Перечня сведений конфиденциального характера», утв. Указом Президента Российской Федерации от 6 марта 1997 г. № 188.

2 Федеральный Закон от 30.12.2001 № 195-ФЗ, принят Государственной

Думой ФС РФ 20.12.2001.

3 Нужно заметить, что назвать значительными обозначенные в статьях 13.11 и 13.14 санкции нельзя — на граждан данные нарушения влекут наложение административного штрафа до 5 и 10 МРОТ соответственно, на должностных лиц — до 10 и 50 МРОТ на юридических лиц по статье 13.11 — до 100 МРОТ

4 Федеральный Закон от 13 июня 1996 года № 63-ФЗ в ред. Федеральных Законов от 27.05.1998 № 77-ФЗ, от 25.06.1998 № 92-ФЗ, от 09.02.1999 № 24-ФЗ, от 09.02.1999 № 26-ФЗ, от 15.03.1999 № 48-ФЗ, от 18.03.1999 № 50-ФЗ, от 09.07.1999 № 156-ФЗ, от 09.07.1999 № 157-ФЗ, от 09.07.1999 № 158-ФЗ, от 09.03.2001 № 25-ФЗ, от 20.03.2001 № 26-ФЗ, от 19.06.2001 № 83-ФЗ, от 19.06.2001 № 84-ФЗ, от 17.11.2001 № 144-ФЗ, от 17.11.2001 № 145-ФЗ, от 29.12.2001 № 192-ФЗ.

Возможно наступление уголовной ответственности в соответствии со статьями Уголовного Кодекса Российской Федерации4 «Нарушение неприкосновенности частной жизни» (ст.

137 Уголовного Кодекса РФ1) и «Неправомерный доступ к компьютерной информации» (ст. 272 Уголовного Кодекса РФ2).

1 «1. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации, если эти деяния совершены из корыстной или иной личной заинтересованности и причинили вред правам и законным интересам граждан, — наказываются штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев.

2. Те же деяния, совершенные лицом с использованием своего служебного положения, — наказываются штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев» (ст. 137 Уголовного Кодекса Российской Федерации).

2 «1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, — наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.

2.

То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, — наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного

Нужно отметить, что в связи с известной сложностью обеспечения доказательств в уголовном процессе применительно к расследованию компьютерных преступлений, а также в связи с тем, что составы преступлений, указанные в данных статьях, являются материальными и от следствия требуется произвести обычно нетривиальное доказательство наличия причинной связи между собиранием и распространением сведений (ст. 147 Уголовного Кодекса РФ), несанкционированным доступом (ст. 272 Уголовного Кодекса РФ) и наступлением предусмотренных статьями последствий, появлениясколь-нибудь значительного количества возбужденных и доведенных до приговора уголовных дел ожидать не следует1. Также нужно отметить, что обе статьи не предусматривают ответственности за неосторожные деяния.

Для сравнения с положением дел в Российской Федерации и для возможного дополнения перечня тех действий, которые должны производиться при сборе и использовании персональных данных и информации, содержащей сведения о пользователях в сети Интернет, кратко рассмотрим, какие предметные проблемы и законодательные инициативы имеют место в иностранных государствах.

Организационно-правовые решения проблемы защиты интересов личности при сборе данных о пользователях в сети Интернет в иностранных государствах базируются на: —

общих нормах, обеспечивающих защиту информационных прав личности и регулирование института персональных данных в целом; —

специализированных предметных нормах, касающихся отдельных видов сбора данных при использовании информационных технологий; —

саморегуляции.

1 Информация по нескольким уголовным делам, возбужденным по ст. 272 Уголовного Кодекса РФ, но довольно опосредованно относящимся к институту персональных данных, приведена в сети Интернет по адресу http://www.zaural.ru/procur/my_page.htm.

2 Bank Secrecy Act, Cable TV Privacy Act of 1984, Electronic Communications Privacy Act, Fair Credit Reporting Act, Family Educational Right to Privacy Act, Freedom of Information Act, Privacy Act of 1974, Right to Financial Privacy Act of 1978, Video Privacy Protection Act of 1988.

3 Адрес в сети Интернет: http://www.ftc.gov/.

В США на федеральном уровне действует целый ряд законов общего действия2.

А главное, крайне активно в области защиты информационных прав граждан и прав потребителей в сети Интернет действует Federal Trade Commission3, которая наделена широкими предметными полномочиями — от разработки рекомендательных документов и проведения научных исследований до проверки жалоб на всевозможные Интернет-сервисы (на предмет соблюдения действующего законодательства) и проведения соответствующих административных процессов.

Особо в США выделяется проблема охраны информационных прав детей — для ее решения в 1998 году был разработан Children's Online Privacy Protection Act1. Данный закон защищает права несовершеннолетних, не достигших 13-летнего возраста, путем запрещения (с определенными исключениями) сбора и использования информации о них владельцами веб-сайтов и онлайновых сервисов в сети Интернет2.

Активно развивается нормотворчество на уровне штатов, в ряде которых разработаны и находятся в стадии рассмотрения и принятия отдельные предметные законодательные акты3.

Например, в штате Коннектикут 21 февраля 2001 года был предложен законопроект, обязывающий органы государственной власти соблюдать определенные правила по обработке персональных данных (personal data) и создавать собственные правила по соблюдению privacy (Internet privacy policy). А в штате Невада в начале 2001 года был разработан законопроект4, регулирующий использование информации, собираемой на веб-сайтах в сети Интернет.

1 US Code, Title 15, Chapter 91.

2 В данном законе отдельно перечисляются те способы, с помощью которых указанная информация может собираться: так, в нем указываются домашняя страница сайта (home page of a website), служба знакомств (pen pal service), электронная почта (electronic mail service), доска объявлений (message board), чат (chat room). Также упоминаются игры как возможный источник получения указанной информации.

3 Более подробно данные вопросы изложены, в частности, в следующих исследованиях:

State Recipe for Cookies: State Regulation of Consumer Marketing Information.

Bruce H. Kobayashi & Larry E. Ribstein, George Mason University School of Law, January 16, 2001,

http://techcenter.gmu.edu/programs/papers/Kobayashi_Ribstein_cookies.pdf.

Online Privacy Law. D. Reed Freeman, http://profs.lp.findlawcom/privacy/.

4 Nevada Senate Bill 48, внесен 24 января 2001 года.

В штате Нью-Йорк в 2001 году был разработан целый пакет законодательных инициатив в сфере защиты информационных прав граждан в сети Интернет и предложены для принятия New York

Assembly Bill 61911, New York State Internet Privacy Law2, регулирующие сбор, раскрытие и распространение персональных данных владельцами онлайновых служб и веб-сайтов; Cyberspace Privacy Protection Act3, обязывающий получать предварительное согласие от пользователей на сбор персональных данных; New York State Bill S04624, к сфере действия которого относятся информационные отношения между пользователями сегмента сети Интернет и веб-сайтов, поддерживаемых государственными органами4.

Естественно, что на уровне штатов также действуют общие относительно института privacy законы, не имеющие специальных предметных норм для сети Интернет, но применяющиеся к сетевым общественным отношениям5.

В Индии за нарушение режима охраны персональных данных установлена уголовная ответственность в виде лишения свободы до двух лет6.

В Европе регулирование предметных отношений происходит в рамках нескольких актов:

1 Внесен 5 марта 2001 года.

2 New York Senate Bill 4353, внесен 11 апреля 2001 года.

3 New York State Bill S04402.

4 Интересная норма содержится в ст. 205 данного документа, по которой уполномоченному государственному органу предлагается разработать модельные правила защиты информационных прав граждан (Model Internet Privacy Policy), которые затем будут адаптироваться и использоваться государственными учреждениями, службами и агентствами.

5 Например, согласно Virginia State Code (chap. 35) — Personal Information Privacy Act, запрещается продавать третьим лицам сведения о покупателях, собранные в связи с осуществляемой коммерческой деятельностью без уведомления последних.

И если покупатель запретит указанные действия, то продавец будет обязан выполнить это требование. Запрещена также продажа информации, полученной в результате проведения платежа с помощью чека или кредитной карточки, — об указанных средствах платежа, а также информации о номере водительской лицензии. За нарушение приведенных норм устанавливается ответственность в размере 100 долларов США за разглашение сведений о покупателе, а также возмещение затрат на юридические услуги.

6 Information Technology Bill 2000 of India, chap. 72 («Breach of confidentiality and privacy»).

— Конвенции Совета Европы № 108 «О защите личности в отношении автоматизированной обработки персональных данных» от 28 января 1981 года1, которая определяет персональную информацию как любую «информацию, касающуюся конкретного или могущего быть идентифицированным лица (субъекта данных)» , а автоматическую обработку — как включающую в себя «следующие операции, если они полностью или частично осуществляются с применением автоматизированных средств: накопление данных, проведение логических или/и арифметических операций с такими данными, их изменение, стирание, восстановление или распространение» (ст. 2); —

упомянутой Директивы 95/46/EC Европарламента и Европейского Совета «О защите физических лиц в отношении обработки персональных данных и о свободном обращении этих данных» от 24 декабря 1995; —

Директивы 97/66/EC Европарламента и Европейского Совета от 15 декабря 1997 «Об обработке персональных данных и защите конфиденциальности интересов абонентов, являющихся как физическими, так и юридическими лицами», в общем случае, устанавливающей базовое требование получения разрешения от субъекта на сбор, обработку и распространение информации о нем.

1 В соответствии с распоряжением Президента Российской Федерации от 10 июля 2001 года № 366-рп «О подписании Конвенции о защите физических лиц при автоматизированной обработке персональных данных» МИДу России было поручено подписать от имени Российской Федерации указанную Конвенцию, кроме этого совместно с Минюстом России и ФСБ России при подготовке материалов для внесения на ратификацию данной Конвенции определить по согласованию с другими заинтересованными федеральными органами исполнительной власти меры, необходимые для обеспечения выполнения Конвенции.

2 Одним из первых законов в Европе был принят в 1999 году испанский закон, получивший название Personal Data Protection Law. Он содержал нормы в основном уже определенные Директивой 95/46/EC.

3 См. работу: Черноус А. Б. Законодательство о персональных данных // Проблемы информатизации. 1999, № 3. С. 63—67. В частности, там описано регулирование использования персональных данных в различных странах Европы.

Часть государств Европы уже приняла в соответствии с указанными директивами предметное национальное законодательство2. В некоторых странах до сих пор сохраняются элементы собственных подходов к регулированию соответствующих отношений3.

Одной из последних европейских инициатив 2001 года можно назвать предложения Европарламента от 13 ноября 2001 года государствам-членам Евросоюза в течение нескольких лет законодательно подтвердить запрещение использования cookies без предварительного уведомления и однозначного утвердительного ответа от пользователя. При этом предполагается, что запрос пользователю будет направляться при каждом заходе на сайт1.

Законодательство европейских государств также справедливо обращает внимание на особую роль провайдеров, оказывающих услуги в сети Интернет, в отношениях, связанных с защитой персональных данных.

В законе ФРГ «О регулировании условий для информационных и коммуникационных услуг» («Закон о мультимедиа») в редакции 29 июня 1997 года в параграфе 3 («Принципы обработки персональных данных») содержатся следующие нормы2:

«Провайдеры услуг вправе осуществлять сбор, обработку и использование персональных данных в целях выполнения телеуслуг только в случае, если это разрешается настоящим Законом или каким-либо другим законодательным актом или если лицо, к которому относятся эти персональные данные, дало на это свое согласие» (п. 1 параграфа 3).

«Для каких-либо иных целей провайдер услуг вправе использовать собранные для телеуслуг данные только в случае, если это разрешается настоящим Законом или каким-либо другим законодательным актом или если лицо, к которому относятся эти данные, дало на это свое согласие» (п. 2 параграфа 3).

«Конструкция и выбор технической аппаратуры для телеуслуг должны быть ориентированы для целей сбора, обработки и использования либо неперсональных данных вообще, либо по возможности меньшего количества такого рода данных» (п. 3 параграфа 3).

1 European Parliament backs web snooping but not cookies, Ananova, Tuesday 13th November 2001, http://www.ananova.com/news/story/sm_448337.html?menu=.

2 Перевод Центра «Право и средства массовой информации», адрес в сети Интернет: http://www.medialaw.ru. Серия «Журналистика и право»,

2000. Вып. 26.

«Перед началом сбора данных пользователь должен быть информирован о методе, объеме, месте и целях сбора, обработки и использования его персональных данных. В отношении автоматических процессов, предоставляющих возможность последующей идентификации пользователя и делающих приготовления для сбора, обработки или использования персональных данных, пользователь должен быть информирован до начала этого процесса» (п. 5 параграфа 3).

В законе Эстонии «О телекоммуникациях», который вступил в силу 19 марта 2000 года1, в параграфе 36 указывается такая императивная норма:

«Оператор телекоммуникационной сети или поставщик телекоммуникационной услуги не должен раскрывать никаких данных о пользователях, которые стали ему известны во время предоставления телекоммуникационных услуг, в том числе сам факт пользования телекоммуникационной услугой» (п. 1 параграфа 36).

1 Принят 9 февраля 2000 г. (RT I 2000, 18, 116). Использован перевод Центра «Право и средства массовой информации».

2 В параграфе 6 «Закона о мультимедиа» указывается, что «провайдер вправе собирать, обрабатывать и использовать персональные данные, имеющие отношение к пользованию телеуслугами, в той степени, в какой это необходимо для того, чтобы: 1)

дать пользователю возможность пользоваться телеуслугами (данные о пользовании) либо 2)

выставить счет за пользование телеуслугами (учетно-расчетные данные)». Кроме того, «счет за пользование телеуслугами не должен раскрывать

имя провайдера, время, продолжительность, тип, содержание и частоту пользования конкретными телеуслугами, за исключением случаев, если пользователь запрашивает подробный счет с указанием этих сведений».

В п. 3 параграфа 36 закона Эстонии «О телекоммуникациях» указывается, что:

«В целях начисления платы за пользование телекоммуникационными услугами или доступ к сетевому соединению и месячных тарифов, поставщик телекоммуникационной услуги может, без согласия абонента, хранить и обрабатывать данные, которые содержат: 1)

информацию, позволяющую достоверно идентифицировать пользователя или терминальное оборудование; 2)

адрес пользователя; 3)

единицы измерения, на основе которых начисляется сумма, которую платит пользователь за общественные телекоммуникационные услуги;

Вполне логичное исключение в иностранном законодательстве о деятельности провайдеров и их правомочиях в сфере защиты прав граждан предусмотрено для сбора информации в целях определения объема оплаты за пользование услугами2. Также в законодательствеприсутствуют нормы, дающие возможность использовать сведения о гражданах для решения задач сбора налогов1.

<< | >>
Источник: В.Б. Наумов. Право и Интернет: Очерки теории и практики. — М.: Книжный дом «Университет». — 432 с. 2002

Еще по теме Ответственность за нарушение режима защиты персональных данных:

  1. Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника
  2. Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника
  3. Статья 89. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя
  4. Статья 89. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя
  5. Международные правовые нормы в сфере защиты персональных данных
  6. Статья 85. Понятие персональных данных работника. Обработка персональных данных работника
  7. Правовой режим персональных данных как информации ограниченного доступа
  8. Конфиденциальность как элемент правового режима персональных данных
  9. Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты
  10. Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты
  11. Глава 14. Защита персональных данных работника
  12. Модельный закон стран СНГ «О персональных данных»
  13. Юридическая природа персональных данных
  14. Понятие и признаки персональных данных
- Авторское право - Аграрное право - Адвокатура - Административное право - Административный процесс - Арбитражный процесс - Банковское право - Вещное право - Государство и право - Гражданский процесс - Гражданское право - Дипломатическое право - Договорное право - Жилищное право - Зарубежное право - Земельное право - Избирательное право - Инвестиционное право - Информационное право - Исполнительное производство - История - Конкурсное право - Конституционное право - Корпоративное право - Криминалистика - Криминология - Медицинское право - Международное право. Европейское право - Морское право - Муниципальное право - Налоговое право - Наследственное право - Нотариат - Обязательственное право - Оперативно-розыскная деятельность - Политология - Права человека - Право зарубежных стран - Право собственности - Право социального обеспечения - Правоведение - Правоохранительная деятельность - Предотвращение COVID-19 - Риторика - Семейное право - Судебная психиатрия - Судопроизводство - Таможенное право - Теория и история права и государства - Трудовое право - Уголовно-исполнительное право - Уголовное право - Уголовный процесс - Философия - Финансовое право - Хозяйственное право - Хозяйственный процесс - Экологическое право - Ювенальное право - Юридическая техника - Юридическая этика и правовая деонтология - Юридические лица -