Генезис понятия «персональные данные» как правовой категории

ОГЛАВЛЕНИЕВВЕДЕНИЕ………………………………………………………………………..3ГЛАВА 1. ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ………………………………………………………………………….51.1. Генезис понятия «персональные данные» как правовой категории….…..51.2. Современные модели защиты персональных данных в России и зарубежных государствах……………………………………………………….11ГЛАВА 2. МЕЖДУНАРОДНЫЕ АСПЕКТЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ………………………………………………………………………...232.1 Международные нормы по защите персональных данных………………232.2 Опыт правовой регламентации понятия «персональные данные» в законах стран Западной Европы…………………………………………………………28ЗАКЛЮЧЕНИЕ………………………………………………………………….41СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ…………………………….43ВВЕДЕНИЕВ современном демократическом обществе права человека и, в частности, право на неприкосновенность частной жизни имеют первостепенное значение. Сведения о гражданах собираются и аккумулируются различными государственными (органы внутренних дел, бюро технической инвентаризации, органы актов гражданского состояния, медицинские учреждения, органы регистрации прав на недвижимое имущество и сделок с ним, органы регистрации юридических лиц и др.) и частными структурами (сотовые компании, частные образовательные, медицинские, юридические организации и т.д.) при рождении и получении документов, удостоверяющих личность, при поступлении на работу, при обращении в медицинские учреждения, при покупке недвижимого имущества (квартир, машин), при создании частных предприятий, в иных случаях. Совершая покупки в интернет - магазинах, потребитель вынужден сообщать свои персональные данные. Однако владельцы таких магазинов не всегда обеспечивают охрану персональных данных (в том числе банковских карт), а отсутствие соответствующего закона создает пробел в правовом регулировании. К самим же персональным данным относятся биографические и опознавательные данные, личные характеристики, сведения о семейном, социальном положении, образовании, профессии, служебном и финансовом положении, состоянии здоровья и прочие.Отношения, связанные с передачей персональных данных и защитой неприкосновенности частной жизни, подлежат правовому регулированию национальными и международными нормами. Во многих европейских странах, а также в США и Канаде для охраны и защиты права на неприкосновенность частной жизни в условиях автоматической обработки данных о гражданах около 30 лет назад был введен институт защиты персональных данных, были приняты национальные законы о персональных данных, а в ряде стран введены независимые уполномоченные по защите этих данных.Вопросы защиты персональных данных рассмотрены в научных работах Ф.А. Абаева, И.Л. Бачило, Э.Н. Бондаренко, А.В. Дворецкого, В.Л. Гейхмана, В.Н. Лопатина, A.M. Лушникова, А.С. Маркевич, У.М. Стансковой, А.А. Фатьянова и других.Объектом исследования в курсовой работе является защита персональных данных. Предметом - понятие «персональные данные» по зарубежным нормативам. Целью в курсовой работе является теоретическое рассмотрение понятия «персональные данные» с точки зрения международного законодательства. На основании цели, в курсовой работе поставлены следующие задачи: Рассмотреть понятие «персональные данные» как правовой категории;Изучить современные модели защиты персональных данных в России и зарубежных государствах;Рассмотреть международные нормы по защите персональных данных;Изучить опыт правовой регламентации понятия «персональные данные» в законах стран Западной Европы. Теоретическая и практическая значимость исследования заключается в дальнейшем развитии и совершенствовании законодательного регулирования защиты персональных данных. Материалы курсовой работы могут послужить основой для последующих научных исследований по данной проблеме.Структура работы включает в себя введение, две главы, заключение, список использованной литературы. ГЛАВА 1. ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ1.1. Генезис понятия «персональные данные» как правовой категорииПонятие «персональные данные» считается относительно молодым, его появление связывают с периодом после окончания Второй мировой войны, когда постепенно возникает необходимость в компьютерной безопасности, а в дальнейшем и в сетевой безопасности [25, с.14]. В это время правовые системы обращают все больше и больше внимания на регулирование оборота информации о физических лицах и практически разрабатывают новое субъективное право – право индивида на его «персональные данные». Тем не менее, еще задолго до возникновения самого термина «персональные данные», распространение личной информации о других людях в той или иной степени подлежало регулированию как со стороны общества, так и со стороны государства. Еще с давних времен возможность самореализации человека была неразрывно связана с информацией, которая наличествует о нем в обществе. Ранние правовые системы предусматривали средства защиты «доброго имени» физических (а также юридических) лиц путем запрета на распространение недостоверных, а позже, и достоверных, но интимных сведений. Тогда информация в большинстве своем передавалась из уст в уста, а поэтому минимального вмешательства государства в регулирование информационного оборота было достаточно, так как в целом общество само регулировалось при помощи социальные санкций. Первые исследования природы конфиденциальной информации (считающиеся впоследствии источником более узкого права – права на персональные данные) проводились в конце XIX века в США и были ознаменованы выходом в свет статьи «Право на неприкосновенность частной жизни» юристов С. Воррена и Луиса Д. Брандайза в 1890 году. В этой статье, помимо общепризнанных прав на жизнь, на свободу и на собственность, описывается также право человека на «быть оставленным в покое» как ответная реакция на гонку желтой прессы за подробностями частной жизни известных людей. Дороти Дж. Гланси интерпретирует концепцию Воррена и Брандайза в виде схемы (Рис. 1.1), отображающей четкое разделение права на частную жизнь от неотъемлемых прав человека на свободу и собственность [17, с.25].Рис. 1.1 Неотъемлемые права личности согласно статье «Право на неприкосновенность частной жизни»Авторы статьи определяют персональные данные как такие, которые наделены атрибутами обыкновенной собственности: права на них могут быть переданы, они имеют ценность, их публикация и/или воспроизведение – это использование, при помощи которого эта ценность реализуется. Тем не менее, С. Воррен и Луис Д. Брандайз не рассматривают право на частную жизнь как составляющую права на интеллектуальную собственность: смысл защиты личной информации не в перераспределении прибыли, а в душевном спокойствии индивида. Согласно статье, «принцип, который защищает личные писания и все другие личные произведения не от воровства и физического присвоения, а от публикации в любой форме, на самом деле является не принципом частной собственности, а принципом неприкосновенности личности». Статья «Право на неприкосновенность частной жизни» считается одним из самых влиятельных эссе в истории американского права и первой публикацией в Соединенных Штатах о защите прав на личную информацию. Впервые формулировка «право на быть оставленным в покое» в суде была использована в 1928 году по делу Роя Олмстеда, что также привело к возникновению юридической категории «право на неприкосновенность частной жизни». Обвиняемый, оспаривая приговор, утверждал, что использование записей телефонных разговоров в качестве доказательства вины является недопустимым. Несмотря на то, что Рой Олмстед был впоследствии осужден на 4 года заключения, особое мнение по материалам дела ассоциированного судьи Луиса Брандайза, согласно которому «право человека на быть оставленным в покое – всеобъемлющее право, наиболее ценимое цивилизованными людьми,… каждое неоправданное вмешательство правительства в частную жизнь человека, независимо от используемых средств, должно считаться нарушением Четвертой поправки», стало очень известным и повлияло на вынесение ряда других решений. История формирования законодательной базы защиты персональных данных берет начало в 1948 году, когда во Всеобщей декларации прав человека провозглашается: «Никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь,… тайну его корреспонденции или на его честь и репутацию; каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств» [9, с.6].Европейская конвенция о защите прав и основных свобод человека от 1950 года в статье 8 предусматривает ряд случаев, когда право на уважение частной и семейной жизни отдельного индивида может нарушаться для «сохранения национальной безопасности и общественного порядка, экономического благосостояния страны, в целях предотвращения беспорядков или преступлений, для охраны здоровья или нравственности или защиты прав и свобод других лиц». Международный пакт о гражданских и политических правах от 1966 года запрещает не только произвольное, но и незаконное вмешательство в личную и семейную жизнь и тайны корреспонденции, во всем остальном формулировка статьи 17 полностью повторяет цитату из Всеобщей декларации прав человека. Впервые определение самих персональных данных, а также право на их защиту, было сформулировано в национальном законодательстве Германии в 1970 году (Земля Гессен, закон «О защите персональных данных»), после чего появилось и в других странах - Швеции (1973 г.), Франции (1978 г.)4 . Вскоре после этого начинают разрабатываться документы, регулирующие защиту персональных данных на международном уровне. Так, 28 января 1981 г. Совет Европы принимает Конвенцию «О защите физических лиц при автоматизированной обработке персональных данных», после чего Европейский Союз выпускает целую серию Директив на тему трансграничной передачи персональных данных, а также защиты их конфиденциальности в секторе электронных средств связи. 23 сентября 1980 г. Организацией по экономическому сотрудничеству и развитию утверждаются Рекомендации, касающиеся основных положений о защите неприкосновенности частной жизни и международных обменов персональными данными. 16 октября 1999 г. на четырнадцатом пленарном заседании Межпарламентской ассамблеи государств - участников СНГ опубликовывается Модельный закон «О персональных данных». Вышеописанные международные договоры и другие источники международного права описывают только право человека на невмешательство в личную жизнь, которое можно отождествить с правом «на быть оставленным в покое», описанном ранее С. Ворреном и Луис Д. Брандайзом. Право человека на защиту персональных данных, как уже было упомянуто выше, считается производным от права человека на невмешательство в личную жизнь. Современные научные исследования основных закономерностей правового регулирования информации о физических лицах появились как отклик на возникновение качественно новых социальных явлений в сфере оборота и защиты конфиденциальной информации. Такие понятия как «персональные данные» (personal data),«информация, позволяющая установить личность» (personally identifiable information) и подобные возникли в различных правовых системах во второй половине XX в. в связи с появлением информационно-телекоммуникационных технологий, прежде всего, сети Интернет [15, с.133]. С этого момента внимание общества к проблеме защиты сферы частных общественных отношений от противоправных посягательств непрерывно растет, правовая защита персональных данных становится одним из приоритетных направлений исследований зарубежных ученых, в частности, таких как Чарльз Д. Рааб, Штиг Штрoмхолм, Раймонд Уэкс и других. На данный момент понятие «персональные данные» имеет множество различных определений, анализ некоторых из них представлен в таблице 1.1.Таблица 1.1.Анализ подходов к определению понятия «персональные данные» в современных источникахАвтор и его определениеПреимущество определенияНедостаток определенияData Protection Act: Персональные данные – это данные, которые относятся к живому индивидууму, которого можно идентифицировать, (1) исходя из этих данных, или (2) исходя из этих данных и другой информации, которая находится во владении или может попасть во владение; это также информация, которая включает любое выражение мнения об индивидууме и любое указание намерений в отношении индивидуума (1998 г.).В понятие «персональные данные» включается не только объективная информация об индивиде, но и субъективные оценки других людей о нем.Определение ограничивает круг субъектов персональных данных при помощи определения «живой индивидуум»Федеральный закон РФ «О персональных данных»: Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (2006 г.).Определение довольно лаконично и полноОпределение сложно воспринимается при чтении, ему не хватает конкретикиЛушников А.: Персональные данные – это информация (зафиксированная на любом материальном носителе) о конкретном человеке, которая отождествлена или может быть отождествлена с ним (2009 г.).Определение лаконично, но при этом довольно полно характеризует понятие «персональные данные»Согласно данному определению предполагается, что только зафиксированная информация об индивидууме может рассматриваться как «персональные данные»Мировой экономический форум: Персональные данные – это данные (и метаданные), созданные людьми и о них, включая: (1) данные, предоставляемые индивидуумами самостоятельно и добровольно, например, профили социальных сетей; (2) наблюдаемые данные – фиксируются путем записи действий отдельных лиц, например, данных о местоположении при использовании сотовых телефонов; (3) предполагаемые данные – данные о людях, основанные на анализе добровольно предоставленной или наблюдаемой информации, например, кредитные рейтинги (2010 г.)В отличие от остальных определений, данное подразумевает возможность наличия персональных данных не о конкретном индивидууме, а сразу о группе людей, что выражается во множественном числе субъекта персональных данныхОпределение включает классификацию персональных данных согласно источнику получаемой информации с готовыми примерами, что скорее полезно как дополнительная информация и сильно загружает текст определенияАнализ разнообразных определений понятия «персональные данные» показывает, что на протяжении более 15 лет трактовка «персональных данных» эволюционировала: если более ранние определения несколько ограничивают круг субъектов персональных данных или объект персональных данных (например, рассматривая только зафиксированную на материальном носителе информацию), то в более свежих определениях прослеживаются попытки достичь наиболее полного охвата. Так, например, в федеральном законе РФ «О персональных данных» от 2006 года в определении используется слово «любая», что, с одной стороны, дает возможность очень полно описать понятие «персональные данные», но, с другой стороны, вовсе не конкретизирует ни источники такой информации, ни ее характер [5]. Наиболее удачным определением «персональных данных» можно назвать формулировку, предложенную в 2010 году на Мировом экономическом форуме, которая может быть дополнена и несколько сокращена следующим образом: Персональные данные – это данные и метаданные, созданные людьми и о них, включая: данные, предоставляемые индивидуумами самостоятельно и добровольно, наблюдаемые данные, фиксируемые путем записи действий отдельных лиц, а также предполагаемые данные и субъективные оценки, основанные на анализе добровольно предоставленной или наблюдаемой информации [7, с.77]. Выше приведенное определение довольно полно характеризует информацию, которая может являться персональными данными, описывает возможные источники такой информации. Кроме того, определение допускает существование персональных данных не только о конкретном индивиде, но и о группе индивидов (например, об определенной семье или об определенной группе потребителей). Таким образом, генезис понятия «персональные данные» восходит еще к концу XIX века, когда идея о необходимости защиты информации о личной жизни людей только начала зарождаться. Возникновение «персональных данных» как отдельной правовой категории относят к 80-90-м годам XX века, когда развитие средств коммуникации достигло небывалых успехов и личная информация о пользователях электронных устройств стала постепенно накапливаться. Впоследствии появление интернета и переход к «цифровой экономике» стали триггерами к постоянному уточнению и дополнению понятия «персональные данные», так как данная сфера с каждым годом нуждается все в большем и большем регулировании со стороны государства.1.2. Современные модели защиты персональных данных в России и зарубежных государствахВ условиях информационного общества и бурного роста развития технологий угроза вторжения в осуществления права на неприкосновенность частной жизни выше, чем когда-либо, как со стороны государств, так и со стороны частных лиц и организаций. В различных базах данных и Интернете собирается информация о кредитных историях людей, их медицинские данные, сведения о покупках и телефонных звонках. Способность частных лиц и государственных органов получать доступ к базам данных бесконтрольно или с минимальным уровнем контроля является серьезным вызовом для осуществления права на «информационную приватность» [10, с.147].Всеобщая декларация прав человека от 10 декабря 1948 г. гласит: «Никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на неприкосновенность его жилища, тайну его корреспонденции или на его честь и репутацию. Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств» [1]. Представляется важным и интересным изучение тенденций изменения правового регулирования персональных данных, о важности практики иностранных государств по правовой защите информации о неприкосновенности частной жизни. Такая практика, в большей степени, разработана в странах континентальной Европы (особенно в Германии) и в меньшей - в Канаде и Соединенных Штатах. Регулирование защиты персональных данных в зарубежных государствах осуществляется на федеральном и региональном уровне, также в странах могут действовать органы власти по контролю за соблюдением требований по защите персональных данных. Существует два типа систем правого регулирования: децентрализованная и централизованная. Децентрализованная система характеризуется следующими признаками [17, с.14]: отсутствие единого подхода к защите персональных данных в рамках отраслевого законодательства; регламентация защиты персональных данных осуществляется посредством профильных нормативных правовых актов комплексных отраслей законодательства (здравоохранение, финансовый сектор) и/или на разных уровнях власти; акты рекомендательного характера играют значительную роль (методики, индустриальные стандарты); отсутствие единого надзорного органа. Примеры: США, Канада и Австралия. Централизованная система характеризуется следующими признаками: прямое действие международных норм, гармонизирующих национальные законодательства государств (Конвенция о защите физических лиц при автоматизированной обработке персональных данных, Директива 95/46/ЕС, Директива 2002/58/ЕС); наличие национальных отраслевых законов, содержащих общеобязательные нормы в отношении защиты персональных данных (например, в Германии Bundesdatenschutzgesetz (BDSG)); регулирование обработки персональных данных посредством учреждения единого надзорного ведомства («мегарегулятора»). Страны ЕС, Израиль, Мексика, Гонконг, Швейцария, Сингапур Наличие одного или нескольких признаков, присущих как децентрализованной, так и централизованной системе, позволяет выделить смешанную систему нормативного правового регулирования защиты персональных данных. В Японии и на Тайване действуют единые законы о защите персональных данных, отсутствуют единые надзорные ведомства, применяются акты рекомендательного характера. В Бразилии правовое регулирование осуществляется на основании общих норм, конституционных принципов и непрофильных законов, при этом присутствует единый надзорный орган. В Гражданском кодексе предусмотрено также, что физическое лицо может просить помощи в связи с любой угрозой его личным правам и что частная жизнь физического лица является неприкосновенной. Широкую защиту предоставляет также Кодекс 20 защиты прав потребителей. Он, в частности, предусматривает права потребителей на доступ к любым зарегистрированным персональным данным и на внесение в них исправлений. Следует отметить, что Бразилия вместе с Германией продвинула в ООН первую резолюцию, посвященную защите персональных данных в интернете. В ней говорилось, что право на неприкосновенность частной жизни должно обеспечиваться как в реальной жизни, так и в Сети. Для страны, где электронную переписку защищают по тем же правилам, что и обычную, это не удивительный подход. Южная Америка также переживает настоящий подъем интернет – законотворчества [19, с.25]. Законопроекты рассматриваются месяцами, а то и годами. В лидерах находится Аргентина, признанная Еврокомиссией единственной страной, в полной мере выполняющей требования по защите персональных данных в интернете. В Южной Африке нет специальных нормативных правовых актов о защите данных, однако в ее Конституции закреплено право на конфиденциальность. Положения, касающиеся личной информации, содержатся также в Законе о защите прав потребителей 2008 года и в Законе об электронных коммуникациях и сделках 2002 года. В скандинавских странах в той или иной форме принято законодательство по защите компьютерных банков данных. В этом плане Швеция является примером - она первая приняла закон о свободе информации («О свободе изданий», 1776 г., который в 1949г. был модифицирован в закон о свободе печати, а в настоящее время является составной частью Конституции Швеции и гарантирует всем гражданам страны свободу получения информации в государственных органах на безвозмездной основе) и первая ввела законодательство по защите информации частного характера (в редакции Закона о конфиденциальности 1998 г. (Personuppgiftslagen)), хранящейся в компьютерных банках данных. Законодательство по защите компьютерных баз данных Швеции и Дании 21 (Закон о защите данных 1979 года в редакции Закона об обработке персональных данных 2000 г. (Lovom behandling af personoplysninger)) главным образом ориентировано на компьютерную информацию в частном секторе. В Китае принято множество значимых актов иной отраслевой принадлежности, а также развито подзаконное регулирование, высока роль документов рекомендательного характера. В Саудовской Аравии нет специальных нормативных правовых актов о защите персональных данных, хотя право на конфиденциальность закреплено в ряде ее законов. В частности, в Основном низаме правления Саудовской Аравии закреплен основной принцип, согласно которому вся переписка и все виды связи между сторонами строго конфиденциальны и раскрывать их не следует. В отсутствие применимого законодательства суды руководствуются нормами шариата (исламского права). На основании норм шариата может быть предъявлен иск за ущерб, причиненный в связи с незаконным раскрытием личной информации физического лица, если раскрытие информации принесло убытки физическому лицу или нанесло ему вред [24, с.17].В Объединенных Арабских Эмиратах нет специальных законов о защите персональных данных, однако право на конфиденциальность закреплено в Конституции и в различных законах. В Конституции ОАЭ указано, что физическому лицу «гарантируется свобода и конфиденциальность переписки, передачи телеграфных сообщений и других средств связи в соответствии с законом». Кроме того, в Уголовном кодексе закреплены некоторые права на конфиденциальность и на защиту персональных данных. В Индии отсутствует конституционное право на конфиденциальность, хотя Верховный суд постановил, что принцип конфиденциальности следует считать составляющей права на жизнь и личную свободу. Сбор и обработка персональных данных регламентируются Законом об информационных технологиях 2000 года, в котором указано, что компании должны принимать адекватные меры безопасности при обработке персональных данных и что при получении таких данных в соответствии с договором их нельзя раскрывать без согласия субъекта данных в нарушение договора. Сбор и использование персональных данных в Японии регламентируются Законом о защите личной информации. Он касается всех видов обработки данных, однако применяется лишь тогда, когда речь идет об информации, принадлежащей 5000 и более физических лиц. Этот закон устанавливает общие требования к разрешениям, безопасности и предоставлению информации, а также дополнительные требования по контролю за работниками и третьими лицами, занимающимися обработкой персональных данных. Страны, которые сильнее выделяются на уровне других, целесообразно отметить отдельно: Канада - с практической точки зрения большой интерес вызывает Канадский Закон «Об охране персональной информации», который предусматривает реальные механизмы защиты персональных данных и реализации права на доступ к сведениям о себе [5]. В соответствии с этим нормативным правовым актом, под персональной понимается информация о конкретном индивиде, записанная в любой форме, в том числе данные о национальности, расе, цвете кожи, религии, возрасте, образовании, состоянии здоровья, финансах, личных взглядах и т.п. Под действие акта не попадает информация об индивиде, который был или является сотрудником государственного учреждения, его должности, служебном адресе и телефоне, уровне зарплаты и служебных обязанностях. Персональные данные не могут быть использованы без согласия индивида и помимо целей, ради которых они собирались. В ряде случаев персональная информация может быть раскрыта, например, по решению суда, для члена парламента, который помогает этому индивиду, в целях передачи в архив, сбора статистических данных. Каждый гражданин или постоянно проживающий в Канаде человек может получить доступ к информации о себе, содержащейся в учреждениях, и исправить ее, если считает неверной. В случае возникновения спорных ситуаций граждане могут опротестовать действия властей в офисе Комиссара по защите персональной информации, который является специальным чиновником, назначаемым и ответственным перед парламентом. Он наблюдает за исполнением данного закона, т.е. за сбором, использованием и распространением государством персональной информации о клиентах и работниках, а также рассматривает жалобы. В Европе лидером в сфере нормативного правового регулирования персональных данных является Германия. Первый закон о защите персональных данных был принят в Германии в земле Гессен в 1970 году. Ранее подобных законов нигде в мире не было. За ним последовало принятие в 1977 году Федерального закона о защите персональных данных, который в 1990 году был пересмотрен. Все 16 земель Германии имеют собственные законы о защите персональных данных, распространяющиеся на государственный сектор административного управления землями. Контроль за исполнением закона осуществляет Федеральная комиссия по защите персональных данных. Соответствующие комиссии, обеспечивающие исполнение местных законов о защите персональных данных, есть в каждой земле Германии. В частном секторе, однако, надзор осуществляется органом, указанным в законе, действующим в каждой из земель (обычно назначается комиссар по защите персональных данных) [6, с.4]. Кроме того, почти все германские законы, которые прямо или через поправки затрагивают проблему обращения с персональными данными физических лиц, содержат либо ссылки на соответствующий закон о защите персональных данных, либо специальные положения о правилах обращения с персональными данными, отражающие право на неприкосновенность частной жизни. Персональные данные полагается получать непосредственно от субъекта данных, кроме тех случаев, когда данные требуются по закону в действительных коммерческих целях, либо когда для получения данных непосредственно от субъекта требуются неоправданно большие усилия и нет указаний на то, что интересы субъекта данных будут этим затронуты. Кроме того, в Федеральном законе о защите данных уделяется особое внимание разработке систем защиты данных, направленных на минимизацию объемов обрабатываемых персональных данных, например путем предоставления субъекту данных анонимного статуса или использования псевдонимов. Анализ показывает, что в немецком законодательстве о персональных данных существует понятие обезличенных (анонимизированных) персональных данных .Соединенные Штаты Америки. В отличие от большинства ведущих европейских стран, в Соединенных Штатах Америки до сих пор отсутствует общее (федеральное) законодательство о персональных данных. В случае же нарушения прав субъектов персональных данных применяются положения Конституции и практика прецедентного права, преобладающего в США.Отказ от общего закона связывают с особой экономической и политической культурой, где власти способствуют саморегуляции бизнеса. Так, свободу слова в конституции США гарантирует первая поправка, а право на неприкосновенность частной жизни напрямую в ней не прописана и только подразумевается. Но эти принципы не мешают инициативам на уровнях штатов. Известно, что общее законодательство в Соединенных Штатах, в большинстве своем, направлено на регулирование деятельности государственных органов, входящих в структуру исполнительной власти, с целью создания прозрачного механизма управления и подотчетности обществу. Это в полной мере относится к сфере обработки персональных данных, где основными действующими документами являются Privacy Act of 1974 (Закон о неприкосновенности частной жизни 1974 г.) и Privacy Protection Act of 1980 (Закон о защите конфиденциальности 1980г.), который предусматривает свод правил «добросовестной информационной практики» и определяет порядок сбора, обработки и использования индивидуальных данных (сведений о конкретных лицах). Вышеназванный Закон распространяется только на федеральные ведомства. Он предоставляет индивиду — обладателю персональных данных такие правомочия, которые позволяют осуществлять превентивный контроль над использованием и передачей персональной информации. Вместе с тем Закон наделяет субъектов правом на доступ к своим личным данным, их копирование, внесение исправлений, а также ограничивает раскрытие информации без согласия субъекта данных другим федеральным ведомствам.Термин «персональные данные» употребляется в рассматриваемом Законе в широком смысле и подразумевает единицу, подборку или группу информации об индивиде, которой располагает ведомство, в том числе сведения об образовании, о состоянии здоровья, финансовых сделках, трудовой и криминальной биографии, а также указание на его имя, идентификационный номер, символ или иной идентифицирующий признак (например, отпечатки пальцев или фотографию) [11, с.78]. Еще одной из отличительных черт защиты данных в США является, так называемый зонтичный подход, обеспечивающий адекватную защиту данных в отдельных областях (отраслях; при исполнении отдельных договоров), который основан на использовании общего законодательства, отраслевых подзаконных актов и рекомендаций по защите информации, выраженных в т.ч. в примерах договоров. Примером такого зонтичного соглашения служит US Department of Commerce's Safe Harbor Privacy Principles (Принципы защиты информации Министерства торговли США) и Transfer of Air Passenger Name Record (PNR) Data (передача данных таможне и пограничной службе США) где, по заключению Еврокомиссии, обеспечивается адекватная защита данных. Таким образом, их положения практически аналогичны принципам, лежащим в основе европейской системы защиты персональных данных. Тем не менее, практика защиты персональных данных в США не является безупречной, чем, видимо, и объясняется включение США в список стран, не обеспечивающих адекватную защиту персональных данных, соответствующий порядок предусмотрен п. 4 ст.25 Директивы ЕС 95/46/ЕС.В России в соответствии с законодательством принято несколько категорий персональных данных. К ним могут относиться общедоступные персональные данные, специальные категории персональных данных, категории персональных данных, обрабатываемые в информационных системах персональных данных, биометрические персональные данные и другие. Обеспечение безопасности (в данном случае конфиденциальности) в соответствии с российским законодательством не требуется лишь для обезличенных и общедоступных персональных данных. Персональные данные могут быть общедоступными только с письменного согласия субъекта персональных данных. Они могут включать фамилию, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных. Обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование и распространение персональных данных. Обязанность по обеспечению безопасности персональных данных при их обработке в информационной системе персональных данных полностью возлагается на оператора персональных данных [25, с.14]. Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах оператором может назначаться структурное подразделение или должностное лицо (работник), ответственное за обеспечение безопасности персональных данных. В соответствии со статьей 23 Федерального Закона № 152 – ФЗ «О персональных данных» для обеспечения контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона назначается Уполномоченный орган по защите прав субъектов персональных данных. Такие функции возложены на три организации: 1. Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) в части, касающейся соблюдения норм и требований по обработке персональных данных; 2. Федеральную службу безопасности РФ в части, касающейся соблюдения требований по организации и обеспечению функционирования шифровальных (криптографических) средств в случае их использования для обеспечения безопасности персональных данных при их обработке в информационной системе персональных данных; 3. Федеральную службу по техническому и экспортному контролю в части, касающейся контроля и выполнения требований по организации и техническому обеспечению безопасности персональных данных при их обработке в информационной системе персональных данных. Таким образом, после изучения российского законодательства и рассмотрения нормативной правовой основы различных зарубежных стран в сфере защиты персональных данных, регулирующих так же сбор и обработку персональных данных, можно сделать вывод, что наиболее перспективным и эффективным механизмом охраны и защиты персональных данных является законодательство Германии, а именно, ФЗ «О защите данных» от 2001 года.Несмотря на то, что Германия относится к континентальной правовой системе, государственно-территориальное устройство федеративного типа, как и в нашей стране, все же служит отличным примером надежной и «адекватной» системы защиты персональных данных. Проанализировав современную международную практику, а так же законодательство и опыт отдельных стран в сфере правового обеспечения защиты персональных данных, можно констатировать наличие устойчивой и весьма заметной тенденции к развитию универсализма в этой области, что ярко выражается в формировании общих подходов к правовому регулированию общественных отношений, связанных с защитой персональных данных и международных стандартов государственно - правовой защиты этих данных. Последние выступают правовым ориентиром в развитии российского законодательства, устанавливающего правовые механизмы защиты персональных данных, а так же для соответствующей правоприменительной практики. Вопрос обработки и защиты персональных данных всегда будет оставаться открытым. Прогресс не стоит на месте, и в соответствии с ярко выраженной тенденцией роста значения информационных технологий и их «просачивания» в каждую сферу жизнедеятельности, законодательство просто не сможет «поспеть» за ними, и всегда найдутся как плюсы, так и минусы в любом нормативном правовом акте и любой правовой системы касательно данного вопроса. ГЛАВА 2. МЕЖДУНАРОДНЫЕ АСПЕКТЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ2.1 Международные нормы по защите персональных данныхПраво человека на защиту информации о себе берет свое начало из общего источника приоритета интересов личности, появившегося в результате Великой Французской революции. В новейшее время основные права человека были закреплены во Всеобщей декларации, принятой в 1948 году. Там указывается, что люди имеют право на охрану от вмешательства в личную жизнь и на тайну переписки. Оно не может нарушаться без законных оснований. Ограничивается возможность нарушить эти тайны не только гражданами и компаниями, но и государственными органами. При расширенном толковании устанавливается, что персональные данные в рамках этой концепции являются частью личной жизни, и посягательство на них помимо воли человека не разрешено никаким третьим лицам. Кроме того, информация о себе является своеобразным активом, имеющим определенную ценность, и с этой точки зрения она также подлежит охране.Регулирование гуманитарного порядкаЭта норма была конкретизирована принятыми позднее Международным пактом 1966 г., ограничившим сферу регулирования только общественной жизнью, и Европейской Конвенцией 1950 г. На базе этих документов и общественного консенсуса создана своеобразная концепция информационных прав. Она включает в себя [15, с.132]:право на доступ к любым сведениям;право на охрану информации о частной жизни, в том числе финансовых данных, сведений о здоровье и социальном статусе;право на защиту информации, принадлежащей государству и бизнесу.Международное право сейчас основывается в большинстве случаев на общепринятых понятиях, не закрепленных официально. Но именно они становятся базой для разработки правовых актов, носящих более утилитарный характер. Сейчас не существует ни одного международного соглашения, конвенции или договора в сфере защиты сведений о гражданине, которые были бы ратифицированы РФ и имели приоритет над национальным законодательством. Двухсторонние соглашения об обмене информацией содержат единичные нормы, касающиеся частных вопросов.Регулирование на уровне международных институтовЕсли рамочные соглашения регулируют широкую сферу отношений, не давая конкретных понятий и стандартов, резолюции и другие документы, издаваемые органами управления интернациональными организациями, становятся обязательными для их членов. В рамках второго направления многочисленные нормы, регулирующие систему защиты персональных данных, создаются на разных уровнях и для разных регионов. Институты управления предлагают свои механизмы скрупулезного и подробного регулирования способов и методов работы с данными, получаемыми от граждан. В течение нескольких последних лет, одновременно с развитием Интернета и технологий, принимались и многочисленные документы, регулирующие эту сферу. Среди них [17, с.26]:Европейская конвенция о защите физических лиц в вопросах, касающихся автоматической обработки личных данных, принятая Советом Европы в 1985 году. Она освещает вопросы сбора и обработки сведений о личности и ее жизни, нормы их хранения, правила предоставления доступа к ним, рекомендуемые способы технической и аппаратной охраны информации. Документ носит одновременно системный и практический характер, оставаясь при этом полностью в рамках Декларации. Интересно, что его нормы прямо исключают любую обработку сведений о таких тонких вопросах, как раса, религия, мнения в политике, без наличия законных оснований. Россия приняла для себя этот документ в 2001 году.Резолюция Европейского парламента 1979 года «О защите прав личности в связи с прогрессом информатизации» определяет основные идеологические направления регулирования этой сферы применительно к странам – членам Евросоюза. Она рекомендовала Еврокомиссии и Евросовету незамедлительно разработать пакет актов, которые защитят данные о личности, подвергающиеся опасности в связи с развитием технического прогресса. Резолюция указывает, в какую сторону необходимо развивать законодательство в области охраны информационных прав личности. Этот документ стал основой для принятия нескольких важных постановлений и директив. К ним относятся Рекомендации «О руководящих направлениях по защите частной жизни при межгосударственном обмене данными персонального характера», а также определяющие основные принципы регулирования сферы обеспечения конфиденциальности сведений директивы. Рекомендации, несмотря на свое необязательное название, активно применяются во всех странах Евросоюза как компаниями, так и частными лицами.Эти акты конкретизируют внимание на таких вопросах, как [22, с.158]:унифицированные требования к способам автоматизированной обработки данных, применяемым принципам и технологиям;права и обязанности собственников персональных данных и операторов, допущенных к их обработке. Также регламентируются права доступа к ним;требования к ситуациям трансграничной передачи данных, ограничения на передачу и ситуации, когда отказ от передачи недопустим;ответственность за нарушение прав человека на защиту информации о себе.Нормы касаются только Европейского Союза и не действуют для неприсоединившихся к нему стран мира, где вопросы защиты персональных данных регулируются собственным национальным законодательством. Тем не менее, глубина их проработки привела к тому, что именно они легли в основу национальных стандартов, касающихся, в том числе вопросов, связанных с особенностями автоматизированной обработки сведений.Отдельный пакет документов принимался в рамках ОЭСР, созданной в 1948 году в целях переустройства Европы по плану Маршалла. В 1980 году была утверждена Директива «Основные положения о защите неприкосновенности частной жизни». Россия членом этой организации не является. Она неоднократно предпринимала попытки вступить в ОЭСР, но по тем или иным причинам получала отказ, как и большинство стран постсоветского пространства. Нормы директивы Российской Федерацией не ратифицированы и на внутреннем законодательстве не отразились.Создание документа на уровне организации преследовало две цели:унифицировать законы стран – членов ОЭСР. Предполагалось, что национальные законы будут приведены в соответствие с ней;избежать блокировки международных обменов персональными данными. Такая блокировка могла быть связана с отсутствием двухсторонних соглашений, регламентирующих трансграничную передачу информации, и правовой базой для нее могла бы стать директива. Предполагалось, что нормы директивы станут обязательными для применения как на государственном уровне, так и в частном секторе. Они касаются тех групп персональных данных, которые несут в себе угрозу правам человека или вследствие процессов их обработки, допускающих потерю сведений, или из-за таких ситуаций их использования, которые могут причинить ущерб человеку.В рамках постсоветского пространства модельный закон «О персональных данных» утвержден в 1999 году Ассамблеей СНГ. Он вводит термин «персональные данные», под которыми понимаются размещенные на материальном носителе сведения о человеке, которые достоверно отождествляются с конкретной личностью. К ним могут относиться не только анкетные сведения, но и вся информация о семье, карьере, бизнесе, счетах и вкладах, здоровье. Документ освещает стандарты регулирования обработки персональных данных, поясняет, как определяются права и обязанности операторов.Этот комплекс нормативно-правовых актов наиболее полно регулирует международную систему защиты персональных данных, но не решает главную задачу – общую унификацию норм и правил регулирования их обработки и передачи.Международные договорыТретий механизм введения в интернациональное правовое пространство норм о защите персональных данных – закрепление их в международных договорах, заключаемых между двумя или более странами. Среди соглашений, в которых могут встречаться нормы о защите персональных данных [26, с.15]:договоры об избегании двойного налогообложения;соглашения об обмене информацией в различных сферах, общественных, правовых, культурных, даже по борьбе с кибертерроризмом;соглашения о сотрудничестве в различных сферах.Примером такого документа стало Соглашение между Правительством РФ и Правительством Республики Кипр, посвященное вопросам избегания двойного налогообложения. Заключенное в 1998 году, с последними изменениями от 2010 года, оно устанавливает такие параметры международного взаимодействия, касающегося защиты персональных данных:страны-участники обязаны предоставлять друг другу всю информацию, касающуюся исполнения соглашения. Эти данные представляют собой сведения о компаниях и лицах, их финансовых операциях и налоговых выплатах. Но предоставляются они только органам, имеющим отношение к взысканию налоговых выплат;предоставляется только публичная информация, не являющаяся коммерческой или профессиональной тайной;нельзя отказать в ответ на запрос только по той причине, что сведения находятся у банка, другой финансовой организации, номинального держателя, доверительного управляющего или несут в себе информацию об имущественном статусе какого-то лица.Хаотическая система регулирования порождает потребность в унификации международных норм о защите персональных данных в рамках одного документа, издаваемого организацией, право на регулирование правового пространства подтверждается большинством стран.2.2 Опыт правовой регламентации понятия «персональные данные» в законах стран Западной ЕвропыВ практике европейских судов уже немало судебных решений по защите персональных данных. Так, например, испанский суд в одном из недавних решений постановил убрать информацию о человеке из поисковой выдачи Google.Истец — доктор Гуидитто Руссо — был раскритикован в одной из статей испанской газеты El Pais еще в 1991 г. (речь шла о разногласиях между врачом и его пациентом, которые были вскоре устранены), однако до сих пор при вводе в Google его имени все равно одним из первых появляется этот негативный материал. Руссо указывал, что из-за Google его материальное благосостояние ухудшается, и в своем иске просил убрать ссылку на порочащую его статью из поисковой выдачи. При этом к газете El Pais, на сайте которой размещена заметка, таких требований не выдвигалось, поскольку периодические издания попадают под действие закона о свободе самовыражения средств массовой информации [15]. Возможно, с принятием нового европейского законодательства эта ситуация изменится.Такие же актуальные проблемы по защите информации приватного характера граждан имеют место в США, Германии и других странах. Южнокорейское подразделение компании Apple уже выплатило первую компенсацию пользователю iPhone за несанкционированный сбор данных о его местоположении. Размер компенсации, которая выплачена юристу Ким Хен-суку Apple Korea, составил $946, сообщается со ссылкой на должностных лиц районного суда Чханвона.В последнее время давление на Apple по вопросу несанкционированного сбора и хранения данных о местонахождении пользователей неуклонно возрастало.Вопрос приобрел остроту после того, как обнаружилось, что устройства, выпущенные компанией, в течение нескольких месяцев сохраняют незакодированную информацию о пользователях. Смартфоны с ОС Google Android также, как выяснилось, регулярно передают вовне данные о местонахождении пользователя.Рассмотрением дела о незаконном сборе информации мобильными устройствами с операционными системами Google и Apple занялся и Сенат США. В ходе заседания представителям компаний пришлось ответить на ряд вопросов, касающихся используемых ими технологий. Ранее парламентский комитет, в ведении которого находится вопрос о защите персональных данных граждан, уже разослал письма шести разработчикам ОС для мобильных устройств, в том числе Apple и Google, с требованием предоставить больше информации об отслеживании информации о пользователях. Компании пояснили, что геоданные собираются на анонимной основе.В мае 2011 г. Apple представила обновление для программного обеспечения, позволяющее пользователям самостоятельно контролировать сбор данных о местонахождении.Американские правозащитники, специализирующиеся на вопросах защиты частной жизни граждан, предъявили претензии к корпорации Apple, производящей iPad и iPhone— устройства, которые сохраняют информацию о перемещениях их владельцев. По утверждению правозащитников, данные, сохраненные устройствами, не зашифрованы и фактически находятся в свободном доступе. «Собирание, хранение и использование данных о перемещениях пользователей без их разрешения неприемлемо. Это нарушает действующее в стране законодательство», — заявляют правозащитники [11, с.78].Еврокомиссия требует также и от Германии принять новый закон о резервном сохранении персональных данных. В противном случае Германии грозит расследование в связи с нарушением европейских соглашений [8, с. 10].В 2011 г. Союз потребителей России подал в суд на девять интернет-магазинов и сервис продажи железнодорожных билетов Railwayticket.ru за разглашение ими персональных данных клиентов и в отношении «Мегафона». По мнению Союза потребителей, интернет-магазины совершили сразу три нарушения: они нарушили права клиентов на неприкосновенность частной жизни, на конфиденциальность персональных данных и на качество товаров и услуг. Роскомнадзор в ходе проверки отправленных с сайта «Мегафона» сообщений установил более 80 интернет-магазинов, информация о покупателях которых попала в открытый доступ в Сети [13, с.59].III. Опыт правовой регламентации понятия «персональные данные» в законах стран Западной ЕвропыВышеуказанные актуальнейшие теоретические и практические проблемы защиты персональной информации определили интерес исследователя обратиться к законодательному опыту зарубежных государств в регламентировании понятий «персональные данные» и классификации их видов, так как именно последние являются основным объектом посягательств на неприкосновенность сферы частной жизни [12, с.24].В странах, находящихся на этапе компьютерного информационного общества или в фазе перехода к такому обществу, основным объектом посягательств на сферу частной жизни стала персонифицированная информация, обрабатываемая автоматизированными электронными средствами (компьютерными и телекоммуникационно-компьютерными информационными системами). Такую информацию стали называть «персональными данными». Термином «машинные данные», или просто «данные», в большинстве стран обозначают информацию, полученную в результате обработки на ЭВМ или подготовленную в специальной форме для такой обработки. Причины же специального выделения категории «персональных данных» из общего понятия «данные» связаны с тем, что такие данные являются потенциально уязвимыми атрибутами сферы частной жизни человека.Довольно быстро было обнаружено, что персонифицированную информацию в компьютерах можно условно разделить на две категории:- «нейтральные» персонифицированные данные, к раскрытию и распространению которых субъект данных относится индифирентно;- «чувствительные» персонифицированные данные, циркуляцию которых субъект данных стремится ограничить. Именно эта категория получила название «персональных данных» и была квалифицирована как информация, несанкционированный доступ или ненадлежащее использование которой приводит к посягательствам на права частной жизни субъекта данных.Таким образом, персональные данные определяются по критерию «чувствительности».Так как понятие «чувствительности» персональной информации достаточно субъективно и зависит от восприятия субъекта данных, то на базе многих прецедентов в гражданском судопроизводстве стран общего права был выработан следующий принцип: публикация некоего факта частной жизни (персональных данных) признавалась посягательством на сферу частной жизни, если было доказано, «что публикация этого факта была высоко предосудительной с точки зрения любого благоразумного человека, наделенного обычной чувствительностью» [18, с.35]. Смысл этого судебного критерия в том, «что закон не предназначен для защиты сверхчувствительных людей, поскольку каждый человек должен до некого обоснованного предела открывать свою жизнь для пристального внимания общества».С точки зрения критерия «чувствительности», определение оксфордского правоведа Раймонда Уэкса представляется многим исследователям каноническим: «Персональная информация могла бы определяться как те факты, сообщения или мнения, которые связаны с данным индивидом и относительно которых можно было бы ожидать, что он считает их интимными или конфиденциальными и, следовательно, желает остановить или, по крайней мере, ограничить их циркуляцию» [22, с.284].В национальных законах о защите данных в определении понятия «персональные данные» не применяется критерий «чувствительности», но он используется при делении персональных данных на «обычные» и «чувствительные» (или «особо чувствительные») в других статьях этих же законов. Это связано с большим разнообразием персональных данных, используемых в компьютерных информационных системах, с одной стороны, и относительной субъективностью критерия «чувствительности», с другой стороны. В самих же определениях понятия «персональные данные» используется, как правило, другой критерий — критерий «идентифицируемости субъекта данных» на основании этих данных.Классический пример использования этого критерия дает определение из Австрийского закона 1978 г. в его новой редакции Закона 2000 г. о защите данных:«Данные — информация, хранимая на носителе данных и имеющая отношение к некому идентифицированному или имеющему высокую вероятность идентификации субъекту данных (персональные данные)» [16, с.117].Датские законодательные акты 1979 г. о регистрах публичных органов власти и о частных регистрах в их новой редакции Закона об обработке персональных данных 2000 г. определяют понятие «персональные данные» следующим образом:«Для целей настоящего законодательного акта слова «персональные данные» должны пониматься как обозначение данных, которые могут быть отнесены к идентифицируемым индивидуумам, даже если такое отнесение предполагает знание персонального регистрационного номера или любых подобных специальных средств идентификации такого индивидуума» [17, с.58].Значительно более сложным и интересным является британское определение персональных данных. Законодательный акт 1984 г. в его новой редакции Закона 1998 г. о защите данных вводит в нормативное определение дополнительные категории «мнение» и «намерение»:«Статья 1(3). Термин «персональные данные» означает данные, состоящие из информации, связанной с неким живым индивидом, который может быть идентифицирован на основании этой информации (или с помощью этой и иной информации, находящейся в распоряжении пользователя данных), включая любое выражение мнения о данном лице, но без какого-либо указания о намерениях пользователя данных в отношении этого лица» [21, с.18].Таким образом, любое выражение мнения об индивиде (субъекте данных) включается в состав персональных данных, тогда как любое указание на намерения пользователя данных в отношении субъекта данных однозначно исключается из состава персональных данных (необходимо подчеркнуть, что намерения третьей стороны, поскольку они в явной и недвусмысленной форме не исключены законом, включаются в состав персональных данных).Другой важной особенностью британского определения является оговорка «или с помощью этой и иной информации, находящейся в распоряжении пользователя данных». Поскольку Великобритания разрабатывала свой закон о защите персональных данных почти на десятилетие позже других стран — участниц Конвенции Совета Европы , то легислатура Соединенного Королевства имела возможность учесть опыт применения аналогичных зарубежных законов. Приведенная выше оговорка призвана предупредить распространенную среди пользователей данных уловку: чтобы данные не подпадали под юрисдикцию законодательства о защите персональных данных, они хранят их в компьютере в псевдообезличенной форме — без упоминания идентифицирующих сведений о субъекте данных, но с привязкой к идентификационным кодам. Таблица же соответствия кодов и субъектов данных хранится (в ручной форме или на магнитных носителях) отдельно и при необходимости обеспечивает идентификацию субъектов данных этой якобы обезличенной компьютерной информации.Исландский законодательный акт 1989 г. о регистрации и обращении с персональными данными в его новой редакции Закона о защите конфиденциальности 2000 г. распространяет понятие «персональные данные» и на сведения о юридических лицах (т.е. признает так называемое «корпоративное право на невмешательство в частную сферу»): «...к персональным данным относятся данные, связанные с частными, финансовыми или иными делами индивидов, институтов, компаний или иных юридических лиц, которые эти лица обоснованно должны держать в секрете» [15, с.132].Определение из Французского закона 1978 г. об обработке данных, файлах данных и индивидуальных свободах подчеркивает, что правовое регулирование обработки персональных данных распространяется как на публичный, так и на частный сектора: «Статья 4. ...персональные данные — это данные, которые позволяют в любой форме, прямо или косвенно, установить личность физического лица, в отношении которого эти данные собраны, независимо от того, физическим или юридическим лицом эти данные были обработаны» [14, с.19].Особо следует отметить тщательную проработку определений персональных данных и смежных с ними понятий в Финском законодательном акте 1988 г. о персональных данных и его новой редакции Закона о персональных данных 1999 г.:«1. Термин «персональные данные» означает любое описание любого физического лица или характеристик физического лица или жизненных обстоятельств, которое может быть признано как описывающее определенное частноефизическое лицо или его семью или тех, кто живет с ним в одном и том же жилище;Термин «файл персональных данных» означает любой набор данных, содержащий персональные данные, обработанные при помощи компьютера, а также любой перечень, картотеку или иной набор данных, содержащий персональные данные и организованный соответствующим образом, благодаря которому данные о любом конкретном физическом лице могут быть найдены легко и без чрезмерных затрат;2а. Термин «файл редакционных данных» означает любой файл персональных данных, предназначенный единственно для редакторских операций любого члена редакции средства массовой информации и недоступный для посторонних...Термин «персональные кредитные данные» означает персональные данные, предназначенные для использования в оценке финансового статуса физического лица, его способности соответствовать своим обязательствам или степени оказываемого ему кредитного доверия...7а. Термин «матрикула» означает любой файл персональных данных, предназначенный для публикации, в который физические лица входят в соединение со сведениями о конкретной профессии или образовании, членстве в некой профессиональной организации или ином обществе, со своим статусом или достижениями в области культуры, спорта, экономической жизни или иной гражданской деятельности или в соединении с другими сопоставимыми факторами» [20, с.158].Этот законодательный акт относится к так называемым «законам второго поколения», учитывает опыт применения предыдущих отечественных и зарубежных законов и содержит ряд принципиально новых моментов. Пункт 1 распространяет понятие «персональные данные» на сведения о семье субъекта данных и о тех, «кто живет с ним в одном и том же жилище».Пункт 2 выводит понятие «персональные данные» за пределы чисто компьютерной информации, распространяя его на данные в информационных системах иных технологий (ручных, механических и т.д.).Принципиальной новинкой являются нормативные определения «отраслевых» персональных данных в п. 2а, 6 и 7а (для кредитной отрасли и для средств массовой информации).Особенно важным представляется появление в законе нормативных определений терминов «файл редакционных данных» и «матрикула», поскольку после внедрения компьютерных технологий в повседневную работу печатной и электронной прессы обработка персональных данных в средствах массовой информации стала объектом правового регулирования одновременно со стороны деликтных средств правовой защиты сферы частной жизни от посягательств в форме несанкционированных публикаций или публичной огласки, сформировавшихся в «докомпьютерную эпоху», и со стороны международных актов и национальных законодательств по защите персональных данных.Проработка в законе таких нормативных определений способствует тому, чтобы взаимоотношения деликтного и международно-национального законодательства по защите персональных данных в этой точке соприкосновения сфер их правового регулирования были не конкурентными, а взаимно дополняющими.Возвращаясь к критерию «чувствительности», отметим, что он используется в зарубежном законодательстве для отнесения некоторых видов персональных данных к категориям данных, требующим при обработке повышенных мер защиты или вообще запрещенным для обработки. При этом национальный закон о защите персональных данных либо содержит прямое указание на отнесение данных к определенной категории, либо наделяет представителей государственной власти (как правило, министра, курирующего национальный орган по защите данных, иногда премьер-министра) полномочиями принятия оперативных решений по данному вопросу.Как показало исследование зарубежных законов о защите данных в странах, несмотря на некоторые исключения, большинство стран делит персональные данные по критерию «чувствительности» на три категории:- «обычные» персональные данные — их сбор, обработка, использование и передача — возможны без специального разрешения, в режиме, предписанном национальными законами;- «чувствительные» персональные данные — их сбор, обработка, использование и передача — требуют особых мер защиты и безопасности, специально установленных законом;- «особо чувствительные» персональные данные — их сбор, обработка, использование и передача — либо вообще запрещены законом либо разрешены только в исключительных случаях с использованием специальных мер защиты и безопасности.Общепризнанными видами «чувствительных» персональных данных являются данные об арестах; банковские данные; данные кредитных отчетов и кредитных историй; данные об образовании и трудовой деятельности (как правило, только данные, содержащие оценку способностей и трудовых качеств индивида); медицинские данные; налоговые данные.Набор «особо чувствительных» персональных данных, подлежащих особо тщательной защите, может варьироваться в различных странах в зависимости от национального менталитета, но, как правило, к этой категории относятся данные о расовом и этническом происхождении, религиозных верованиях, политических убеждениях, членстве в профессиональных ассоциациях, политических и общественных организациях, состоянии здоровья, особенностях сексуального поведения, криминальном прошлом (данные о вынесенных и исполненных обвинительных судебных приговорах по уголовным делам).В качестве примера, иллюстрирующего механизм применения критерия «чувствительности», приведем краткое описание его применения в бельгийской национальной системе защиты персональных данных.В Бельгии контролер (держатель) файлов должен соблюдать особо строгие правила обработки и использования в отношении трех категорий персональных данных: 1) «высокочувствительных» данных; 2) медицинских данных; 3) судебных данных (категории 2 и 3 считаются просто «чувствительными» данными).Что касается первой категории, то Бельгийский законодательный акт 1992 г. о защите данных (BDPA) предоставляет наивысшую степень защиты данным, связанным с расой, этническим происхождением, сексуальным поведением, политическими взглядами или действиями, религиозными или философскими убеждениями, членством в любом профессиональном или трудовом союзе или принадлежностью к государственной службе здравоохранения (все они далее называются «высокочувствительными данными»).Любой контролер файлов может обрабатывать эту категорию высокочувствительных данных только для целей, разрешенных BDPA, или во исполнение этого законодательного акта.Поскольку сам BDPA не предусматривает никаких разрешенных целей для обработки высокочувствительных данных, то эти цели в деталях устанавливаются Королевскими указами № 6 и 7, конкретизирующими и регламентирующими исполнение вышеуказанного законодательного акта. BDPA допускает исключения для юридических лиц и организаций де-факто (таких, как профсоюзы, службы здоровья, политические партии), но только в отношении данных, связанных с их собственными членами.В отношении второй категории следует отметить, что контролер файлов может обрабатывать медицинские данные только после получения заранее письменного разрешения субъекта данных или, в качестве альтернативы, под строгим надзором и при ответственности лечащего врача. В категорию медицинских включаются все данные, раскрывающие информацию, связанную с предыдущим, текущим или будущим состоянием физического или умственного здоровья субъекта данных, за исключением данных явно административного или оценочного характера, относящихся к ходу лечения и медобслуживания. Медицинские данные не могут передаваться третьим сторонам, за исключением тех случаев, когда это делается во исполнение закона или когда закон содержит явно выраженное и недвусмысленное разрешение на такую передачу. Медицинские данные также могут передаваться другим лечащим медработникам после получения заранее специального письменного разрешения от заинтересованного лица (субъекта данных) или для целей медицинской обработки в чрезвычайных ситуациях и в случаях опасности (ст. 7 BDPA).Отнесенные к третьей категории криминальные и судебные персональные данные могут обрабатываться только во исполнение закона или для целей, определенных законом, причем в эту категорию включается и обработка данных об уголовных обвинительных приговорах и наказаниях из документов, хранимых в национальных криминальных архивах, а также обработка данных из криминальных документальных записей, хранимых муниципалитетами (ст. 8 § 4), обработка таких данных адвокатами (ст. 8 § 6) и юридическими лицами,уполномоченными на то королевским указом, — во всех этих случаях обработчик данных обязан заранее посылать субъекту данных уведомление о предстоящей обработке относящихся к нему криминальных данных.И наконец, Бельгийский законодательный акт 1992 г. о защите данных в явно выраженной и недвусмысленной форме запрещает любому контролеру файлов сбор любых высокочувствительных, медицинских, криминальных или судебных данных в Бельгии для передачи через границу с целью обработки на иностранной территории по той причине, что их обработка в Бельгии также запрещена (ст. 4 § 2).Таким образом, в последние годы вопросы защиты частной жизни и персональных данных в связи с экспоненциальными темпами развития информационных технологий требуют объединения финансовых и интеллектуальных ресурсов ЕС и России по внесению радикальных изменений:- во-первых, начать консультации членам Совета Европы по обновлению содержания Конвенции № 108 для повышения уровня стандартов защиты данных, а значит сферы частной жизни, не только в Европе, но и во всем мире. Ибо обмен персональными данными — это также часть обеспечения безопасного и стабильного общества;- во-вторых, своевременно, с развитием компьютерных и телекоммуникационных технологий, вносить в национальное законодательство стран ЕС и России изменения в части использования персональных данных, обеспечивающих людей товарами и услугами, особенно в среде Интернет — от банковских операций и путешествий до социальных сетей. Особого пристального внимания законодателей заслуживает правовая защита приватности сферы частной жизни в социальных сетях, где информация личного характера либо предается огласке без согласия человека, либо является недостоверной из-за несвоевременной ее актуализации и ошибок.ЗАКЛЮЧЕНИЕТаким образом, после изучения российского законодательства и рассмотрения нормативно-правовой базы различных зарубежных стран в сфере защиты персональных данных, регулирующих так же сбор и обработку персональных данных, можно сделать вывод, что наиболее перспективным и эффективным механизмом охраны и защиты персональных данных является законодательство Германии, а именно, ФЗ «О защите данных» от 2001 года.Несмотря на то, что Германия относится к континентальной правовой системе, государственно-территориальное устройство федеративного типа, как и в нашей стране, всё же служит отличным примером надежной и «адекватной» системы защиты персональных данных.Проанализировав современную международную практику, а так же законодательство и опыт отдельных стран в сфере правового обеспечения защиты персональных данных, мы можем констатировать наличие устойчивой и весьма заметной тенденции к развитию универсализма в этой области, что ярко выражается в формировании общих подходов к правовому регулированию общественных отношений, связанных с защитой персональных данных и международных стандартов государственно-правовой защиты этих данных.Последние выступают правовым ориентиром в развитии российского законодательства, устанавливающего правовые механизмы защиты персональных данных, а так же для соответствующей правоприменительной практики.И всё же, в заключение хочется сказать о том, что как бы не трудились «светлейшие умы» любой страны, данный вопрос всегда будет оставаться открытым.Прогресс не стоит на месте, и в соответствии с ярко выраженной тенденцией роста значения информационных технологий и их «просачивания» в каждую сферу жизнедеятельности, законодательство просто не сможет «поспеть» за ними, и всегда найдутся как плюсы, так и минусы в любом нормативно-правовом акте и любой правовой системы касательно данного вопроса.СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫВсеобщая декларация прав человека. Принята Генеральной Ассамблеей ООН 10.12.1948 // Российская газета 05.04.1995. № 67.Конвенция о защите прав человека и основных свобод. Заключена в г. Риме 04.11.1950 // Собрание законодательства РФ. 08.01.2001. № 2. Ст. 163.Международный пакт о гражданских и политических правах. Принят 16.12.1966 Резолюцией 2200 (XXI) на 1496-ом пленарном заседании Генеральной Ассамблеи ООН // Ведомости Верховного Совета СССР. 28.04.1976. № 17. Ст. 291.Конституция Российской Федерации от 12дскабря 1993 г.: по сост. на 21 июля 2014 г. Собрание законодательства Российской Федерации. — 2014. — № 31. — Ст. 4398. О персональных данных: федеральный закон от 27 июля 2006 г. N 152-ФЗ // Собрание законодательства Российской Федерации. — 2006. — № 31 (часть I). — Ст. 3451. Алямкин С.Н. Персональные данные как объект правового регулирования: понятие и способы защиты // Мир науки и образования. 2016. № 4 (8). – С. 4.Бачило, ИЛ. Информационное право РФ: Учебник для вузов / И.Л. Бачило. — М.: Издательство Юрайт. 2016.- 522 с. Бачило, И.Л. Персональные данные в структуре информационных ресурсов. Основы правового регулирования /И.Л. Бачило, Л.А. Сергиенко, Б.А. Кристальный., А.Г. Арешев // Информационное право. — 2016. — N 3Барщевский М.Ю., Жиронкина Ю.Е. Особенности развития и законодательного закрепления права на неприкосновенность частной жизни в Соединенных Штатах Америки // Вестник Московского Университета МВД России. 2013. № 6. – С. 15Бондаренко, Э.Н. Конфиденциальная информация в трудовых отношениях. / Э.Н. Бондаренко, Иванов ДВ. — СПб.; Издательство «Юридический центр-Пресс». — 2014 Болик, В.Н. О правомерности законодательных ограничений конституционного права на неприкосновенность частной жизни / В.Н. Болик., А.М. Туркиашвили А.М. // Законы России: опыт, анализ, практика. — 2015. — N 7. С. 78 — 84. Бондаренко, К.А. Взаимосвязь признаков индивидуального трудового договора и особенностей договорного регулирования трудовых отношений / К.А. Бондаренко // Трудовое право в России и за рубежом. 2015. — № 3. — С. 23 — 27. Буркова, А.Ю. Локализация баз данных на территории Российской Федерации: первые толкования // Законодательство и экономика. 2015.- № 9.- С. 59 — 64. Выговская, И.Г. Трудовое право России: учебник / И.Г. Выговская, С.В. Колобова, О.С. Королькова и др.; под общ. ред. М.В. Преснякова, С.Е. Чаннова. — Саратов: Поволжский институт управления им. II.Л. Столыпина, 2014.- 288 с. Головина, С.Ю. Конституционные принципы и права в сфере труда и их конкретизация в трудовом законодательстве России // Российский юридический журнал. — 2015.- № 1.С. 132 — 145. Дупан А.С., Жарова А.К., Елин В.М. и др. Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет: монография / отв. ред. А.С. Дупан; Высшая школа экономики, Национальный исследовательский университет. – М.: Издательский дом ВШЭ. 2016. – С. 343Егошина Г.Г. Особенности конституционно – правового механизма защиты прав субъектов персональных данных в федеративных государствах Европы // Вестник ХГАЭП. 2012. № 3 (60). – С. 71.Журавлев, М.С. Персональные данные в трудовых отношениях: допустимые пределы вмешательства в частную жизнь работника // Информационное право. 2017.- №4.- С. 35 — 38. Загородников, С.Н. Чужие тайны и их защита: нормативно-правовые аспекты / С.Н. Загородников, Максимов Д.А. // Российский следователь. 2014. — № 3.- С. 40 Лебедев, В.М. Трудовое право: Учебник / В.М. Лебедев, Д.В. Агашев, А.А. Белинин, А.В. Дворецкий; Под ред. В.М. Лебедева. — М.: Норма: НИЦ Инфра-М, 2018. — 464 с. Лушников А.М. Защита персональных данных работника (сравнительно-правовой комментарий гл. 14 Трудового кодекса РФ) // Делопроизводство. 2009. № 4. – С. 43.Лушников, А.М. Российское трудовое право: вызовы XXI века / А.М. Лушников // Lex russica. — 2014. — № 3. — С. 284 — 293. Семенихин, В.В. Кадровое делопроизводство. / В.В. Семенихин. — М.: ГроссМедиа, РОСБУХ, 2015. — 624 с. Сопилко И. М. Генезис содержания категории «персональне данные» // Юридический вестник. Воздушное и космическое право . - 2013. № 4. – С. 62Проскурякова М.И. Защита персональных данных в праве России и Германии: конституционно-правовой аспект: дис. ... канд.юрид. наук. – Спб.. 2017. – С. 34Телина Ю.С. Конституционное право гражданина на неприкосновенность частной жизни, личную и семейную тайну при обработке персональных данных в России и зарубежных странах: дис. ... канд.юрид. наук. – М. 2016. – С. 18.Терещенко, Л.К. Правовой режим персональных данных и безопасность личности /Л. К. Терещенко //Закон. -2018.- №6.- С. 37 -43.Трофимова, И.А. Обработка и хранение персональных данных/ И.А. Трофимова // Делопроизводство.- 2015. — № 3. — С. 107 — 110. Шариков П.А. Американская региональная политика кибербезопасности // Россия и Америка в XXI веке. 2016. № 3. – С. 11Яковец, Е.Н. Своеобразие состава защищаемой конфиденциальной информации / Е.Н. Яковец // Право и кибербезопасность. — 2014. — № 2. — С. 51 — 58.