|
|
N°226, 05 декабря 2005 |
|
ИД "Время" |
|
|
|
|
Учет персонала
Проект закона «О персональных данных» столкнулся с мракобесием
Государственная дума приняла законопроект в первом чтении 25 ноября. За день до этого один из разработчиков документа, руководитель департамента правового обеспечения Министерства информационных технологий и связи РФ Михаил Якушев в беседе с журналистами заявил: «Я готов к тому, что завтра опять устроят пикет перед зданием Государственной думы, будут говорить о «числе зверя», о том, что станут вживлять чипы под кожу и так далее. Мы это все проходили в связи с введением ИНН, индивидуального номера налогоплательщика. Затем подобная волна была поднята, когда принимали законодательство о паспортах, где стоит графа «личный номер»... Эта тема искусственно политизируется».
Так и произошло. Не только пикетчики, но и депутаты во всеуслышание сообщают о законопроекте вещи удивительные, хотя и не относящиеся к делу. Словосочетание «число зверя» (вариант: «печать зверя») за последние дни навязло в зубах части публичных политиков.
Если оставить в стороне «искусственную политизацию» обсуждения законопроекта (вызванную, очевидно, предвыборной активностью депутатского сословия), нетрудно видеть, что в негативном отношении части населения (на чем и спекулируют политики, представляющие эту наименее образованную часть электората) проявляется традиционная русская настороженность в отношении новых технологий, будь то бритье бород при Петре Первом или компьютеризация предприятий в 70-х годах прошлого века. Между тем нынешнее намерение государства придать законную силу процедурам хранения и обработки персональных данных, безусловно, прогрессивно. Европейская конвенция «О защите физических лиц при автоматизированной обработке персональных данных», которую правительство теперь пытается ратифицировать в парламенте, была принята четверть века назад, еще в 1981 году. Решение о присоединении к этой конвенции Россия приняла одной из последних в ноябре 2001-го. Во исполнение этого решения и подготовлен, в частности, законопроект «О персональных данных». Кроме него подготовлены также проекты федеральных законов «О ратификации Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» и «О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и Федерального закона «О персональных данных», «Об информации, информационных технологиях и защите информации».
Можно говорить о качестве законопроекта, пытаясь его улучшить перед вторым чтением, но неприятие закона как такового попахивает мракобесием.
Законопроект в нынешней редакции трактует понятие «персональные данные» очень широко. По мнению авторов документа, это «любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу». Само идентифицируемое лицо именуется «субъектом персональных данных».
К процедурам подготовки, хранения и использования персональных данных законодатель намерен предъявить определенные требования.
Любая организация, будь то частное предприятие или государственное учреждение, обязана пройти процедуру регистрации, прежде чем приступить к сбору персональных данных. Это относится к магазинам, предоставляющим дисконтные карты в обмен на заполненную анкету с указанием имени и фамилии покупателя, к медицинским учреждениям, ГИБДД, предприятиям ЖКХ, к любым предприятиям, где есть отдел кадров. После успешной регистрации предприятие или учреждение становится «оператором информационной системы персональных данных» и принимает на себя связанную с этим ответственность.
Оператор не имеет права собирать избыточные сведения. Например, для того чтобы предоставить покупателю дисконт, супермаркет не должен интересоваться номером и серией паспорта. Оператор под страхом преследования по суду не имеет права передавать персональные данные какому бы то ни было третьему лицу. Оператор должен по первому требованию субъекта персональных данных предоставить ему доступ к сведениям о нем или уничтожить таковые.
Закон предусматривает понятные исключения. Например, в случае расследования уголовного дела персональные данные могут быть отчуждены от человека без его на то согласия. Работодатель не обязан по требованию наемного работника отказываться от хранения его персональных данных, а военнослужащий не вправе требовать уничтожения своего личного дела по истечении срока контракта. Впрочем, в последних двух случаях, как и вообще в подобных ситуациях, от субъекта персональных данных требуется письменное согласие.
Проект закона выделяет специальную категорию сведений о гражданине -- т.н. «особые персональные данные». К ним относятся расовое или этническое происхождение, национальность, политические взгляды, религиозные или философские убеждения, состояние здоровья, сексуальные наклонности, наличие судимости. Эти данные без ведома и разрешения субъекта персональных данных никто не вправе ни собирать, ни использовать. За рядом естественных исключений -- в том случае, например, если следует оказать помощь находящемуся без сознания человеку, данные о группе его крови или перечень препаратов, способных вызывать аллергическую реакцию, могут быть использованы без специального разрешения. Если субъект персональных данных баллотируется в Госдуму, он не вправе скрыть сведения о своей судимости. И т.п.
Проект закона предусматривает также введение «идентификатора персональных данных». В трактовке радикально настроенных комментаторов это и есть «число зверя». Таких идентификаторов у гражданина РФ и сейчас более чем достаточно: номер паспорта, водительского удостоверения, данные биометрии, ИНН и т.п. либо по отдельности, либо в той или иной комбинации. Например, в сочетании с именем и фамилией номер паспорта представляет собой достаточно надежный идентификатор. На основании этих данных технически несложно обеспечить получение последовательности символов, надежно идентифицирующей каждого человека. Модель идентификатора персональных данных давно опробована и действует в Вооруженных силах, где каждому военнослужащему присваивается личный номер.
Вопрос в том, зачем следует идентифицировать гражданина таким вот образом. Авторы законопроекта полагают, что идентификатор персональных данных не будет разрабатываться по армейскому принципу (присвоение специально разработанного уникального кода каждому гражданину и хранение таких кодов в централизованной базе данных -- неверное решение, считает заместитель министр информационных технологий и связи РФ Дмитрий Милованцев). Но если базировать идентификатор персональных данных на совокупности децентрализованных сведений о гражданине, резко сократятся возможности «высокотехнологичного» мошенничества, связанного с попыткой преступников выдать себя в киберпространстве за другого. Если, например, дополнить систему приема интернет-платежей по кредитной карте необходимостью указать дополнительный идентификатор, мошенничать с номерами кредитных карт станет крайне затруднительно.
Главная претензия к законопроекту сводится к следующему: «Вы ходите создать всероссийский отдел кадров, пометить каждого числом зверя и сконцентрировать личные сведения, после чего ими станут торговать на улицах». Однако ничего подобного в тексте законопроекта и близко нет. Скорее наоборот -- создание централизованных баз персональных данных ставится вне закона.
Однако законопроект есть за что критиковать и без мнимых причин.
Во-первых, определение основного понятия -- «персональные данные» -- чересчур расплывчато. Как им руководствоваться на практике, непонятно. Тот, кто прочитал хотя бы один детективный роман, знает, что идентифицировать человека может и номер трамвайного билета, найденного в кармане пиджака. Вряд ли авторы законопроекта имели в виду такую возможность, однако она отлично укладывается в рамки данного ими определения.
Во-вторых, порядок регистрации операторов персональных данных необходимо ужесточить, сделав его разрешительным, а не заявительным. Иначе непонятно, как государство станет контролировать правомерность сбора персональных данных, например, инициаторами программы рождественских скидок, пожелавшими анкетировать покупателей. Придется создавать контролирующий орган в дополнение к пожарной охране и службе санэпидемнадзора.
В-третьих, без одновременного принятия изменений к Уголовному кодексу РФ любой закон о персональных данных останется вещью в себе. Без адекватной санкции за нарушение правил работы с персональной информацией закон не заработает (на Западе за такое сажают в тюрьму или разоряют огромным штрафом).
Возможно, Госдума обратит на это внимание при втором чтении законопроекта.
Андрей АННЕНКОВ