<<
>>

Законность сбора информации о пользователях

Технический подход заключаются в создании и распространении многочисленных программных и аппаратных решений в сфере информационной безопасности для компьютерных систем пользователей и провайдеров, а также в создании специализированных Интернет-сервисов1.

В рамках рассмотрения и анализа указанной правовой проблемы будем считать, что при работе пользователя в сети Интернет имеется возможность получения и использования комплексно или раздельно следующей информации о нем: 1.

IP-адрес подключенного к сети Интернет компьютера и сведения о провайдере, услуги которого оказываются пользователю. 2.

Адрес электронной почты. 3.

Сведения о составе установленного программного обеспечения (или, в частности, о составе дополнительно установленных модулей броузера) и режимах работы компьютера. 4.

Информация, получаемая владельцем ресурса из лог-файлов, а также посредством технологии cookies, о характере посещений пользователем веб-сайтов и производимых на них действиях.

В том числе, информация связанная с аутентификацией пользователя на ресурсах Сети. 5.

Личная информация, введенная пользователем при работе с различными веб-сайтами и сервисами сети Интернет. 6.

Информация о пользователе, имеющаяся у провайдера в силу оказания последним соответствующих телекоммуникационных услуг Эта информация включает логины и пароли доступа к информационным системам провайдера, а также данные из лог-файлов провайдера.

1 В качестве примера последнего можно привести известный сервис wwwanonymizer.com, обеспечивающий анонимный доступ к веб-сайтам.

Попробуем исследовать вопрос о том, является ли законным сбор указанной информации и как должны действовать в России владельцы ресурсов и сервисов, а также провайдеры, чтобы не нарушать прав граждан и собственных клиентов.

В Российской Федерации применительно к исследуемой проблеме действуют всем известные базовые информационные нормы статей 23 и 24 Конституции Российской Федерации, повторение которых представляется важным:

«Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени»

(п.

1 ст. 23).

«Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения»

(п. 2 ст. 23).

«Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются» (п. 1 ст. 24).

Данные нормы должны закреплять содержание и характер информационных процессов, происходящих в сети Интернет. При этом другая конституционная норма, декларирующая право свободы поиска, передачи, производства информации (п. 4 ст. 29), предоставляет соответствующие права субъектам информационных отношений только в случае соблюдения таковыми законных интересов и прав других субъектов, т. к. в ней содержится указание на реализацию перечисленных действий только при осуществлении «любым законным способом»1.

Приведенные гарантии информационных прав граждан раскрываются в отечественном законодательстве, регулирующем отношения в сфере информатизации (информационном законодательстве)2.

1 На этот счет в 428 Резолюции Консультативной Ассамблеи Совета Европы (раздел «С») говорится следующее:

«В случае противоречия между правом на свободу информации и на уважение личной жизни приоритет имеет право на уважение личной жизни». Бачило И. Л., Лопатин В. Н., Федоров М. А. Информационное право. СПб.: Юридический центр Пресс, 2001. С. 274.

2 Теория вопроса, связанная с институтом неприкосновенности частной жизни применительно к информационным процессам, раскрыта в главе 8 учебника «Информационное право». Бачило И. Л., Лопатин В. Н., Федоров М. А. Информационное право. СПб.: Юридический центр Пресс, 2001.

В Федеральном Законе от 20 февраля 1995 года № 24-ФЗ «Об информации, информатизации и защите информации» (далее — закон «Об информации») вводится институт персональных данных.

Понятие последних определяется в ст. 2 закона «Об информации»: «информация о гражданах (персональные данные) — сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность».

Персональные данные относятся законом «Об информации» к категории конфиденциальной информации1, которая, в свою очередь, относится к информации с ограниченным доступом (ст.

10, 11 закона «Об информации»).

Основная норма, защищающая информационные права граждан, содержится в ч. 2. п. 1 ст. 11 закона «Об информации»:

«Не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения».

Представляется, что данная норма трактуется шире, нежели данное в законе определение персональных данных, что, несомненно, обеспечивает граждан дополнительными гарантиями. Собственно, определение персональных данных из Закона «Об информации» можно назвать весьма аскетичным. Для сравнения, в Модельном законе «О персональных данных», принятом в октябре 1999 года на четырнадцатом пленарном заседании Межпарламентской ассамблеи государств — участников СНГ2, в ст. 2 дается более развернутое по сравнению с законом «Об информации» определение персональных данных:

1 В ст. 2 закона «Об информации» конфиденциальная информация определяется как «документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации», а документированная информация в силу той же статьи — как «зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать».

2 Принят Постановлением № 14-19 от 16 октября 1999 года Межпарламентской ассамблеи государств — участников СНГ

«Персональные данные — информация (зафиксированная на материальном носителе) о конкретном человеке, которая отождествлена или может быть отождествлена с ним. К персональным данным относятся биографические и опознавательные данные, личные характеристики, сведения о семейном, социальном положении, образовании, профессии, служебном и финансовом положении, состоянии здоровья и прочие».

Нужно заметить, что это определение сформулировано в духе Директивы 95/46/EC Европарламента и Европейского Совета «О защите физических лиц в отношении обработки персональных данных и о свободном обращении этих данных» от 24 декабря 19951.

В других неевропейских странах — в первую очередь, в США — стремятся, наоборот, как можно более точно и исчерпывающе раскрыть в законе указанную категорию данных2.

1 Ст.

2 п. (a) Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data:

«„персональные данные" означают любую информацию, связанную с идентифицированным или идентифицируемым физическим лицом („субъектом данных"); идентифицируемым лицом является лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификационный номер или на один или несколько факторов, специфичных для его физической, психологической, ментальной, экономической, культурной или социальной идентичности». (Здесь и далее при цитировании текстов европейских конвенций использован перевод из книги Защита персональных данных: Опыт правового регулирования / Составитель и автор комментариев Е. К. Волчинская — М.: Галерия, 2001.)

В приведенном определении особенно интересно употребление категорий прямо или косвенно (directly or indirectly), касающихся степени идентификации информации с физическим лицом.

2 В законопроекте штата Нью-Йорк (New York Senate Bill 4353, внесен 11 апреля 2001 года), содержится следующее определение:

«Personal Information: «Mean individually identifiable information about an individual collected online, including:(A) first and last name; (B) home or other physical address including street name and name of a city or town; (C) e-mail address; (D) telephone number; (E) social security number; (F) any other identifier that permits the physical or online contacting of a specific individual; or (G) information concerning a child or the parents of that child that the operator collects online from the child and combines with another identifier set forth in this subdivision».

В законе 2001 года штата Аризона (House Bill 2351, an Act amending Title 44, Arizona revised statutes, by adding chapter 29 (relating to customer records) в ст. 5 приводится уже другое раскрытие термина:

«Personal information» means any information that identifies, relates to, describes or is capable of being associated with a particular individual if it includes

В Российской Федерации в ч.

1 п. 1 ст. 11 закона «Об информации» содержится следующая норма:

«Перечни персональных данных, включаемых в состав федеральных информационных ресурсов, информационных ресурсов совместного ведения, информационных ресурсов субъектов Российской Федерации, информационных ресурсов органов местного самоуправления, а также получаемых и собираемых негосударственными организациями, должны быть закреплены на уровне федерального закона».

1 Помимо указанного пробела для настоящего исследования важно также и то, что до сих пор не установлен предусмотренный п. 4 ст. 11 закона «Об информации» порядок обязательного лицензирования деятельности негосударственных организаций и частных лиц, связанной с обработкой и предоставлением пользователям персональных данных, а также не приняты нормы, связанные с установлением режима защиты информации в отношении персональных данных, что в соответствии с п. 1 ст. 21 должно определяться федеральным законом.

Однако в связи с отсутствием на настоящий момент соответствующего закона, данная норма порождает серьезный пробел в законодательстве об информатизации1: какие данные о гражданах относить к персональным, а какие — нет?

Нужно отметить, что в ряде нормативно-правовых актов Российской Федерации из других отраслей законодательства содержатся более конкретные нормы о том, что же считать персональными данными.

Кроме этого, имеет смысл также учитывать, что в другом российском законе — Федеральном законе от 4 июля 1996 года № 85-ФЗ «Об участии в международном информационном обмене» в ч.1 ст. 8 приведена еще одна норма, трудно реализуемая на практике:

«Ограничивается вывоз из Российской Федерации документированной информации, отнесенной к: государственной тайне или иной конфиденциальной информации...

Возможность вывоза с территории Российской Федерации такой документированной информации определяется Правительством Российской Федерации в каждом отдельном случае».

Можно сравнить приведенную норму с подходом к регулированию соответствующих отношений в Модельном законе «О персональных данных»:

«1.

Не может запрещаться или ставиться под специальный контроль трансграничная передача персональных данных, за исключением случаев, создающих угрозу национальной безопасности, и при необеспечении адекватного уровня защиты персональных данных.

4. Передача персональных данных в страны, не обеспечивающие адекватный уровень защиты этих данных, может иметь место при условии: —

явно выраженного согласия субъекта персональных данных на эту передачу; —

необходимости передачи персональных данных для заключения и (или) исполнения договора между субъектом и держателем персональных данных либо между держателем и третьей стороной в интересах субъекта персональных данных; —

если передача необходима для защиты жизненно важных интересов субъекта персональных данных; —

если персональные данные содержатся в общедоступной базе персональных данных» (ст. 10. модельного закона).

1 Федеральный Закон от 31 июля 1998 года № 146-ФЗ в ред. Федеральных Законов от 09.07.1999 № 154-ФЗ, от 02.01.2000 № 13-ФЗ, от 05.08.2000 № 118-ФЗ (ред. 24.03.2001), от 28.12.2001 № 180-ФЗ от 29.12.2001 № 190-ФЗ.

Так, например, в части первой Налогового Кодекса Российской Федерации1 в ст. 84 «Порядок постановки на учет, переучета и снятия с учета. Идентификационный номер налогоплательщика» перечисляются следующие персональные данные: фамилия, имя, отчество; дата и место рождения; пол; адрес места жительства; данные паспорта или иного документа, удостоверяющего личность налогоплательщика; гражданство.

В новом Трудовом Кодексе Российской Федерации1, содержащем целую главу о персональных данных2, понятие персональных данных работника раскрывается следующим образом:

«Персональные данные работника — информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника» (ч. 1 ст. 85).

Правда, в последующей статье законодатель определяет другую, отсылочную, норму, замыкая тем самым своеобразный понятийный круг:

«При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, настоящим Кодексом и иными федеральными законами» (п. 2 ст. 86).

Применительно к использованию информационных технологий и сети Интернет в той же статье 86 (п. 6) приводится интересная норма:

«при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения».

1 Федеральный Закон от 30 декабря 2001 года № 197-ФЗ, принят Государственной Думой 21 декабря 2001 года. Кодекс введен в действие с 1 февраля 2002 года.

2 Глава 14 «Защита персональных данных» содержит следующие важные для организации информационной составляющей трудовых отношений статьи: статья 85 «Понятие персональных данных работника. Обработка персональных данных работника», статья 86 «Общие требования при обработке персональных данных работника и гарантии их защиты», статья 87 «Хранение и использование персональных данных работников», статья 88 «Передача персональных данных работника», статья 89 «Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя», статья 90 «Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника».

Если принять во внимание тот факт, что персональные данные работника работодатель получает непосредственно у последнего либо, в случае получения от третьих лиц, с предварительным уведомлением и с письменного согласия работника, а также то, что работодатель должен сообщать работнику о целях, предполагаемых источниках и способах получения персональных данных (п. 3 ст. 86), то данная норма указывает на пути разрешения проблемы регулирования использования работниками информационных технологий (в том числе электронной почты и ресурсов сети Интернет) в личных целях на рабочем месте1.

В ряде других законов Российской Федерации, а также подзаконных актах (что является спорным с позиций нормы п. 1 ст. 11 закона «Об информации») также содержатся нормы, относящие ту или иную информацию к персональным данным2.

Таким образом, в связи с отсутствием предметных норм, раскрывающих состав сведений, относящихся к персональным данным, существуют различные варианты подходов к вопросу о том, какие собираемые и обрабатываемые данные при работе в сети Интернет охраняются законом, а какие — нет.

Можно трактовать данный вопрос узко, исходя из определения понятия персональных данных в законе «Об информации», где приводится такой дополнительный существенный критерий как идентификация личности, позволяющий относить или не относить определенную информацию к персональным данным.

1 В США данной проблеме — соблюдению privacy на рабочих, а также в общественных местах (таких, как библиотеки и учебные заведения) заслуженно уделяется пристальное внимание, а ее решению посвящено несколько законодательных актов. Например, закон 2001 года штата Делавэр (HB. 75, подписан губернатором штата 10 июля 2001 года) требует от работодателя предварительного уведомления работников об отслеживании телефонных звонков, электронной почты и доступа в сеть Интернет; федеральный закон Electronic Communications Privacy Act (ECPA) 2000 года предоставляет работодателям право при определенных условиях пресекать электронные коммуникации на рабочих местах и с использованием оборудования работодателя.

2 В п. 1 ст. 12 Федерального Закона от 15 ноября 1997 года № 143-ФЗ «Об актах гражданского состояния» указывается, что «сведения, ставшие известными работнику органа записи актов гражданского состояния в связи с государственной регистрацией акта гражданского состояния, являются персональными данными, относятся к категории конфиденциальной информации, имеют ограниченный доступ и разглашению не подлежат».

В п. 1 «Перечня сведений конфиденциального характера», утвержденном Указом Президента Российской Федерации от 6 марта 1997 г. № 188, из режима охраны конфиденциальных данных логично по сути выводятся сведения, подлежащие распространению в средствах массовой информации в установленных федеральными законами случаях.

Однако, возможно, исходя из объективной сложности разделения информации на идентифицирующую личность или не идентифицирующую (идентифицирующую не в полной мере), учитывая норму ч. 2. п. 1 ст. 11 закона «Об информации» и опираясь на конституционный принцип неприкосновенности частной жизни, предложить следующий спорный тезис: вся информация, которая возникает в процессе использования гражданином информационных систем и ресурсов и для которой у последнего отсутствует прямое волеизъявление на ее распространение, может быть отнесена к персональным данным1.

Из рассмотренного перечня получаемых о пользователе сведений IP-адрес (и динамический, и статический2), сведения об установленном программном обеспечении и режимах работы компьютера идентифицируют, в первую очередь, используемые информационные технологии. Без наличия дополнительной информации (например, о том, что определенное программное обеспечение зарегистрировано за определенным пользователем) сделать достоверный вывод о том, что эти данные идентифицируют пользователя, невозможно3. Поэтому отнести данные сведения к персональным данным не представляется возможным и, главное, нужным. Кстати, если бы это было сделано, то это могло бы привести к серьезным (или даже катастрофическим) изменениям — пришлось бы пересматривать большинство стандартов и протоколов обмена данных в сети Интернет.

1 Подробнее с указанным подходом к рассмотрению института персональных данных можно ознакомиться в работе Л. А. Сергиенко, И. Д. Ти-новицкой «Субъективные права в информационной сфере» (Проблемы информатизации. 2000, № 3), где, в частности, говорится о том, что имеет право на существование «широкое толкование персональных данных, которое включает не только сведения о частной жизни, но и информацию об особенностях, определяющих физическое лицо в общественной жизни, о факторах, специфичных для его физической, психологической, ментальной, экономической, культурной или социальной идентичности» (с. 25).

2 Статический IP-адрес при работе в сети Интернет присваивается пользователю (точнее, сеансу его соединенияю с провайдером) по соглашению с последним и остается неизменным для всех сеансов подключения к Сети через оборудование данного провайдера. Например, наличие статического IP-адреса требуется для работы с ресурсами с ограниченным доступом, когда IP-адрес служит дополнительным идентификатором пользователя и без его наличия доступ к ресурсу оказывается закрыт.

3 Такие данные в исследованиях в области privacy в США получили название partially personalized data.

Информация, получаемая посредством технологии cookies в ряде случаев может быть отнесена к персональным данным (например, в том случае, когда с ее помощью хранятся пароли и логины для доступа к информационным ресурсам и сервисам), а в ряде случаев — нет (например, когда в файлах cookies записываются только адреса сайтов, которые посетил пользователь).

Однозначно можно заключить, что к персональным данным необходимо отнести электронную почту1 и самостоятельно вводимые пользователем сведения, позволяющие его идентифицировать. Можно согласиться с авторами издания «Интернет и гласность», что ограничительный характер рапространения электронных адресов проистекает из необходимости соблюдения требований по защите персональных данных2.

Очень важна информация, собираемая о пользователе провайдером. Когда провайдер заключает с пользователем договор, то обычно ему становятся известны фамилия и имя пользователя, его паспортные данные, место проживания3, логин и пароль доступа к услугам и сервисам провайдера; нередко (при установке АОНов) провайдер владеет данными о номере телефона, с которого осуществляется доступ. Помимо этой информации, у провайдера скапливаются данные о том, с какими ресурсами и когда работал пользователь. Весь этот комплекс данных однозначно относится к частной жизни пользователя и включает в себя персональные данные. Наличие последних позволяет идентифицировать с пользователем информацию о его работе в сети Интернет, что дает возможность, например, создать подробный портрет информационных пристрастий и предпочтений личности.

1 В нескольких странах мира электронная почта законодательно включена в состав персональных данных. Например, это произошло в Аргентине с ноября 2001 года — см. Argentina Peeks Into E-Mail Laws // Wired News, http://www.wired.com/news/politics/0,1283,48291,00.html.

2 См. Волчинская Е, Терещенко Л., Якушев М. Интернет и гласность. М.: Издательство «Галерия», 1999. С. 99.

3 Естественно, при обслуживании пользователей, воспользовавшихся публичной офертой провайдера и купивших карточки доступа в Интернет, данная информация провайдеру, в общем случае, неизвестна.

Таким образом, наличие в массиве данных о пользователе «бесспорных» персональных данных фактически делает весь массив персональными данными, поэтому провайдер обязан предпринимать меры по защите всех имеющихся в его распоряжении сведений о пользователе.

В итоге можно заключить, что тезис об отнесении всех собираемых сведений о пользователе к персональным данным, представляется излишне смелым. Тем не менее, их можно отнести к сведениям, которые в определенный момент могут стать персональными данными. Т. е. они хоть и не имеют важного статуса, но охраняются законом с того момента, когда появляются основания связать их с конкретным или предполагаемым физическим лицом, что порождает требование о том, чтобы их сбор, хранение, использование и распространение без согласия соответствующего лица были запрещены.

Как может быть выражено указанное согласие? Во-первых, в явной форме — например, в результате ответа на запрос на страницах сайта. Таковой прием очень часто используется при всевозможных мошенничествах с использованием сети Интернет1, когда доверчивые пользователи, покоренные красивым дизайном и броскими брендами, не сомневаясь, вводят требуемые сведения, вплоть до номеров кредитных карт.

Во-вторых, что особенно важно для технологий сети Интернет, согласие может быть выражено в конклюдентной форме, т. е. когда сами действия, осуществляемые пользователем, позволяют заключить, что он дал согласие на использование собственных персональных данных. Например, если пользователь при обсуждении того или иного вопроса опубликовал в сети Интернет свой адрес электронной почты на какой-либо дискуссионной доске объявлений, то в результате данного действия он предоставил возможность участникам дискуссии и просто читателям доски объявлений использовать этот адрес.

1 См. Письмо Федеральной Комиссии по рынку ценных бумаг от 20 января 2000 г. № ИБ-02/229 «О возможных мошеннических схемах при торговле ценными бумагами с использованием сети Интернет», информация в котором подготовлена по результатам анализа типичных мошеннических действий, выявленных Комиссией по ценным бумагам и биржам США.

В приведенном примере представляется важным вопрос определения пределов использования опубликованного адреса электронной почты. Можно предположить, что сама публикация электронного адреса не предусматривает разрешения третьим лицам, сосканировав-шим данный адрес со страниц доски объявлений с помощью специальных программ, рассылать на данный адрес рекламные сообщения.

Более строго говорить о том, разрешал ли владелец почты использовать свой адрес в целях, отличных от целей дискуссии, можно только при наличии предупреждения о пределах использования адреса, либо при анализе условий использования информации, опубликованной на доске объявлений, которые должны быть разработаны и опубликованы ее владельцем.

Следует также заметить, что наличие или отсутствие конклюдент-ного согласия пользователя зависит от трудноопределяемого для владельцев информационных ресурсов, провайдеров и третьих лиц уровня осведомленности пользователя о характере работы используемого аппаратно-программного обеспечения. Например, как было показано выше, от пользователя зависит, используется ли при его работе в сети технология cookies или нет и в какой мере. Тем не менее, можно предположить, что простое наличие данной возможности у пользователя не дает оснований ссылаться на его волеизъявление, а владельцам ресурсов и систем целесообразно в явной форме указывать и/или запрашивать согласие пользователя на сбор и использование тех или иных сведений о пользователе и его аппаратно-программном обеспечении. Конечно, частота и характер запросов о согласии пользователя должны выбираться разумно и не заключаться в абсурдном появлении форм запросов при загрузке каждого нового файла. Здесь главным требованием может являться добросовестность, руководствуясь которой, владелец ресурса или системы заранее предупреждает о своей политике по использованию данных о пользователях.

Возвращаясь к вопросу определения состава персональных данных и режима их использования, нужно принимать во внимание ряд других актуальных соображений.

Во-первых, при анализе проблемы использования персональных данных в сети Интернет и защиты права на неприкосновенность частной жизни, нужно принимать в расчет, что повсеместно распространенное и используемое программное обеспечение не гарантирует того уровня информационной защиты, при котором пользователь информирован о всех существенных обстоятельствах работы на компьютере. Поэтому очень часто имеют место ситуации, когда в силу наличия т. н. «дыр» в информационной защите сведения о пользователе собираются путем несанкционированного доступа к его компьютерной системе.

И во-вторых, при формировании больших массивов данных, состоящих из сведений различного типа (например, IP-адреса и cookies), их специальной статистической обработке, а также сопряжении со сведениями, получаемыми из других источников, напрямую не относящихся к сети Интернет, возможно предположить возникновение ситуации перехода количества в качество, т. е. создание условий, когда отдельные элементы массивов данных не позволяют однозначно идентифицировать пользователя, но вся совокупность обработанных данных дает такую возможность.

Примером перехода от правомерного к неправомерному может служить ситуация, которая имела место в 1999—2000 годах с технологией американской компании DoubleClick, которая, по мнению известной общественной организации Electronic Privacy Information Center (EPIC)1, организовала систему, нарушавшую privacy потребителей в сети Интернет.

1 Сайт в сети Интернет: http://wwwepic.org/.

Упомянутая DoubleClick создала специальную рекламную сеть DoubleClick Network и привлекла к участию в ней в ряд известных ресурсов третьих лиц (например, AltaVista, Macromedia, U.S. News Online), на которых публиковались рекламные объявления указанной сети. При первом посещении пользователем ресурсов указанной сети ему присваивался специальный идентификационный номер, который записывался в файлы cookies на пользовательском компьютере. При последующем посещении пользователем ресурсов программное обеспечение DoubleClick считывало и записывало в собственный массив данных указанный уникальный номер. Естественно, данная технология опиралась на то, что пользователи не были осведомлены о записи и хранении уникального номера на собственных компьютерах. Используя данный номер, DoubleClick посредством собственной технологии DART предоставляла рекламодателям возможность представлять рекламную информацию пользователям с учетом сведений, полученных в результате обработки комплексных данных о посещении тех или иных веб-сайтов, где использовалась технология DART (сведения: время и дни посещения, типы доменов, серверов и используемого программного обеспечения и т. д.), и реакции (переход по рекламной ссылке) пользователя на публикуемую рекламу.

По утверждению EPIC, DoubleClick в декабре 1998 года обрабатывал информацию о 48 миллионах пользователей, что предоставляло возможность повышения эффективности рекламной деятельности нескольким тысячам рекламодателей. При всем этом компания DoubleClick утверждала, что все пользователи, которые сталкивались с применением названной технологии, оставались анонимными, о чем также были осведомлены и партнеры компании по организованной сети. В середине 1999 года DoubleClick заключила соглашение с известной в США компанией Abacus Direct Corporation, специализирующейся на маркетинговых исследованиях и анализе потребительского спроса, в том числе и в сети Интернет. Применительно к последней этой компанией с 1998 года велась специализированная база, содержащая данные, идентифицирующие и отражающие активность пользователей в сети Интернет. Подобная комбинация базы данных и технологии сбора и обработки данных позволяла, по мнению экспертов, с большой степенью достоверности идентифицировать конкретных пользователей сети Интернет.

Все вышеназванное, по мнению EPIC1, нарушало информационные права пользователей (privacy), однако ее обращение в феврале 2000 года в Federal Trade Commission (США) не принесло удовлетворительных результатов2.

Приведенные выше рассуждения о составе персональных данных некоторым образом подтверждаются теми решениями, которые предлагаются в ряде проектов Федерального Закона «О связи», являющегося одним из базовых для регулирования отношений, складывающихся в сети Интернет, а также в ряде других документов.

1 EPIC ссылалась на нормы Section 5(a) Federal Trade Commission Act, 15 U.S.C. § 45(a), которые запрещают недобросовестные методы ведения коммерческой деятельности.

2 Подробнее см. http://wwwiepic.org/privacy/doubletrouble/default.html.

3 Законопроект опубликован в сети Интернет по адресу http:// conf.svyazinvest.ru.

В проекте, предлагаемом Министерством Российской Федерации по связи и информатизации и проходящем сейчас стадию об-суждения3, в ст. 63 предлагается охранять персональные данные пользователей услуг связи следующим образом:

«1. Операторы связи обязаны принимать меры по обеспечению конфиденциальности данных об абонентах, персональных данных пользователей — физических лиц и сведениях об оказываемых им услугах.

К персональным данным пользователя связи относятся фамилия, имя, отчество, адрес пользователя (абонента) или адрес установки оконечного оборудования (абонентского устройства), псевдоним, абонентские номера и другие данные, позволяющие однозначно идентифицировать пользователя (абонента) или его оконечное устройство (абонентское устройство), информация из баз данных автоматизированных систем расчета за услуги связи.

2. Предоставление третьим лицам перечисленных в п. 1 настоящей статьи сведений допускается только с согласия пользователя (абонента), а также в случаях, установленных федеральными законами».

Интересно, что в данном законопроекте дается расширительное толкование персональных данных: в качестве таковых приводятся и сведения, позволяющие однозначно идентифицировать абонентское устройство, с помощью которого пользователь (абонент) получает услуги связи. Авторы законопроекта правы: в случае, когда данные об абонентском устройстве однозначно связаны с данными о пользователе (например, при использовании физическим лицом по договору с провайдером выделенной линии с фиксированным IP-адресом, когда по одному из параметров — имени и фамилии пользователя, телефону, логину и паролю — можно получить все остальные), их следует относить к персональным и распространять на них соответствующий режим защиты. Однако совершенно необязательно, что такая формулировка во всех остальных ситуациях имеет право на существование, что она даст какие-либо дополнительные гарантии гражданам, а также не создаст дополнительных организационно-технических проблем операторам связи.

1 Телекоммуникации и право: вопросы стратегии / Под ред. Ю. М. Батурина. М.: Центр «Право и СМИ», 2000. 324 с. (Журналистика и право; Вып. 26). Адрес законопроекта в сети Интернет: http://www.medialaw.ru/ publications/zip/71-72/project.htm.

В другом проекте — проекте Федерального Закона РФ «О внесении изменений и дополнений в федеральный закон „О связи" (ФЗ „О телекоммуникациях")», разработанном рабочей группой под руководством Ю. М. Батурина1 предлагается изменить формулировку фрагмента статьи «Тайна связи»1 и изложить одну из содержащихся в ней норм с учетом раскрытия перечня сведений, являющихся персональными данными:

«Получение у оператора связи персональных данных пользователей сети (фамилия, имя и отчество, адрес, псевдоним, идентификаторы средств связи) и сведений об оказанных им услугах допускается только с согласия пользователя и в случаях, предусмотренных ст. 17 настоящего Федерального закона».

В одном из первых российский законопроектов о сети Интернет, рабочая версия которого была разработана специалистами второго и третьего состава Комитета по информационной политике Государственной Думы Российской Федерации в 2000 году и имела название «О регулировании российского сегмента сети Интернет (Об использовании глобальных общедоступных информационно-телекоммуникационных сетей, Об обмене документами в российском сегменте сети Интернет)», также содержалось несколько норм, регулирующих сбор и использование информации персонального характера. В частности, в ст. 7 предлагалась правильная формально, но труднореализуемая норма:

1 В действующем Федеральном Законе от 16 февраля 1995 года № 15-ФЗ «О связи» (в ред. Федеральных Законов от 06.01.99 № 8-ФЗ, от 17.07.99 № 176-ФЗ) является статьей 32, а в прелагаемом проекте — статьей 48.

2 Интересны прелагаемые в п. 4 ст. 8 законопроекта пределы использования персональных данных провайдером после окончания обслуживания пользователя:

«Поставщик телекоммуникационной услуги, почтовой услуги, информационной услуги в целях обеспечения платежа получателем услуги может использовать по окончанию срока предоставления услуги следующую информацию: —

данные о технических средствах получателя услуги; —

адрес получателя услуги, включая его физический адрес и электронный адрес (номер электронного почтового ящика); —

тип, время начала и продолжительность действий по предоставлению услуги; —

прочую информацию, относящуюся к платежам за предоставленную услугу.

«Обработка и использование персональных данных получателя товара (услуги) для целей рекламы, маркетинговых исследований или создания технических средств по предоставлению услуги допускается только в случае письменного согласия субъекта персональных данных»2.

По закону «Об информации» на лиц, осуществляющих сбор информации, в силу ст. 12 и 14 налагаются определенные обязанности:

«Порядок накопления и обработки документированной информации с ограниченным доступом, правила ее защиты и порядок доступа к ней определяются органами государственной власти, ответственными за определенные вид и массивы информации, в соответствии с их компетенцией либо непосредственно ее собственником в соответствии с законодательством» (п. 5 ст. 12).

«Граждане и организации имеют право на доступ к документированной информации о них, на уточнение этой информации в целях обеспечения ее полноты и достоверности, имеют право знать, кто и в каких целях использует или использовал эту информацию. Ограничение доступа граждан и организаций к информации о них допустимо лишь на основаниях, предусмотренных федеральными законами» (п. 1 ст. 14).

«Владелец документированной информации о гражданах обязан предоставить информацию бесплатно по требованию тех лиц, которых она касается. Ограничения возможны лишь в случаях, предусмотренных законодательством Российской Федерации» (п. 2 ст. 14).

«Отказ владельца информационных ресурсов субъекту в доступе к информации о нем может быть обжалован в судебном порядке»1 (п. 4 ст. 14).

1 Данное действие может содержать признаки состава преступления, предусмотренного ст. 140 Уголовного Кодекса Российской Федерации, в которой указывается, что:

«Неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан, — наказываются штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет».

Из приведенных норм следует важный практический вывод: лицам, осуществляющим сбор и обработку персональных данных и сведений, содержащих информацию о пользователях, необходимо максимально корректно перед началом процессов сбора и обработки информации определить либо в общих двусторонних соглашениях с пользователями (например, в договорах провайдера с его пользователями), либо в специальных соглашениях по использованию тех или иных ресурсов и систем в сети Интернет существенные условия организации предметных информационных процессов, а также права и обязанности сторон друг перед другом и третьими лицами.

<< | >>
Источник: В.Б. Наумов. Право и Интернет: Очерки теории и практики. — М.: Книжный дом «Университет». — 432 с. 2002

Еще по теме Законность сбора информации о пользователях:

  1. Законность сбора информации о пользователях
  2. Модельный закон стран СНГ «О персональных данных»
  3. 1. Понятие и общая характеристика преступлений в сфере компьютерной информации
  4. 2. Конкретные виды преступлений в сфере компьютерной информации
  5. 14.3. Осведомленность пользователей
  6. 1.1. Правовая характеристика права акционера на информацию^ его место в системе прав акционера.
  7. § 3. Информация. Служебная и коммерческая тайна
  8. 2.2. Угрозы и возможные каналы утечки конфиденциальной информации
  9. 11.3. Нормативно-правовые акты в области защиты информации и государственной тайны
  10. 8.1.3.3. Сбор платежей
  11. Плата за предоставление информации
  12. 11.3. Нормативно-правовые акты в области защиты информации и государственной тайны
  13. Особенности правового режима информации ограниченного доступа в банковской деятельности на примере международной банковской группы в условиях противодействия отмыванию доходов, полученных преступным путем, и финансированию терроризма
  14. § 3. Юридическая ответственность пользователей недр как правовая мера охраны окружающей среды и обеспечения экологической безопасности
  15. ПРАВИЛА АДМИНИСТРАТИВНОЙ ПРОЦЕДУРЫ СВОД ЗАКОНОВ США —ТИТУЛ 5, ГЛАВА 5
- Авторское право - Аграрное право - Адвокатура - Административное право - Административный процесс - Арбитражный процесс - Банковское право - Вещное право - Государство и право - Гражданский процесс - Гражданское право - Дипломатическое право - Договорное право - Жилищное право - Зарубежное право - Земельное право - Избирательное право - Инвестиционное право - Информационное право - Исполнительное производство - История - Конкурсное право - Конституционное право - Корпоративное право - Криминалистика - Криминология - Медицинское право - Международное право. Европейское право - Морское право - Муниципальное право - Налоговое право - Наследственное право - Нотариат - Обязательственное право - Оперативно-розыскная деятельность - Политология - Права человека - Право зарубежных стран - Право собственности - Право социального обеспечения - Правоведение - Правоохранительная деятельность - Предотвращение COVID-19 - Семейное право - Судебная психиатрия - Судопроизводство - Таможенное право - Теория и история права и государства - Трудовое право - Уголовно-исполнительное право - Уголовное право - Уголовный процесс - Философия - Финансовое право - Хозяйственное право - Хозяйственный процесс - Экологическое право - Ювенальное право - Юридическая техника - Юридические лица -