|
|
N°14, 30 января 2006 |
|
ИД "Время" |
|
|
|
|
Приватизация личной информации
Государство намерено взять под защиту персональные данные граждан
1 февраля в Думе состоится второе чтение законопроекта «О персональных данных» (в первом чтении принят 25 ноября 2005 года). Текст документа, активно обсуждавшийся общественностью на протяжении декабря, претерпел некоторые изменения. Часть этих изменений принципиально важна -- учтены, в частности, пожелания верующих. Законопроект согласован в правительстве и имеет все шансы вскоре стать законом.
Понятие «персональные данные» в тексте закона трактуется весьма широко: «Любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу». На деле это означает, что к персональным данным гражданин вправе отнести любую информацию, которая, по его мнению, может идентифицировать его или является конфиденциальной, т.е. нуждающейся в том, чтобы сам гражданин регулировал доступ к ней третьих лиц.
Ошибочно полагать, будто базами персональных данных располагает только государство. Операторами персональных данных являются далеко не только паспортные столы, налоговая служба или ГИБДД. Магазины, аптеки, автосервисы и химчистки, предоставляющие клиентам дисконтные программы в обмен на заполненную анкету, в которой предусматривается сообщение о себе идентифицирующих сведений (имя, возраст, пол и даже адрес), также подпадают под действие будущего закона. Заметим также, что онлайн-сервисы (например, бесплатные почтовые службы) тоже накапливают персональные данные -- электронный почтовый ящик предоставляется только после того, как пользователь введет информацию о себе. Еще более яркий пример -- регистрация абонентов в сетях сотовой связи.
Отдельного упоминания заслуживает медицинская информация, которая накапливается в лечебных учреждениях. Она относится к сугубо приватной, доступ к ней должен быть закрыт всем, кроме врача и его пациента. Однако нынешние российские законы фактически не защищают медицинскую информацию (а защищать ее есть от кого -- сведения о состоянии здоровья граждан представляют значительный интерес, в частности, для страховых компаний). Врач, нарушивший клятву Гиппократа, может быть отлучен от профессии, однако технический работник регистратуры в районной поликлинике, похитивший данные из истории болезни, рискует разве что увольнением. С другой стороны, медицинское учреждение формально не обязано выдавать на руки гражданину (и чаще всего действительно не выдает) историю его болезни, результаты анализов, рентгеновские снимки etc. Если закон о персональных данных будет принят, положение дел изменится и в том и в другом случае.
На «круглом столе», проведенном Центром развития информационного общества 20 января и посвященном обсуждению проекта закона «О персональных данных», выяснилось, что у документа сторонников больше, чем противников. Заместитель генерального директора Центра политических технологий Алексей Макаркин считает, что документ -- «весьма цивилизованный законотворческий продукт, сделанный профессионально, в русле европейской традиции».
Протоиерей Всеволод Чаплин, заместитель председателя отдела внешних церковных связей Московского патриархата, заявил: «Не надо путать официальную позицию церкви с заявлениями, которые делаются от имени церкви. Обработка данных не греховна. Она велась всегда и во всех странах». По мнению представителя Московской патриархии, задача состоит в том, чтобы «защитить человека, обеспечить гражданский контроль и открытость». Всеволод Чаплин обращает внимание на необходимость осторожного обращения с понятием «идентификатор персональных данных». В соответствии с законопроектом такие идентификаторы должны применяться в информационных системах персональных данных органов государственной власти. «Идентификатор -- что это? Будет ли он заменой имени человека? Можно ли будет его сменить, обязателен ли он? Ведь отказывались же некоторые люди от ИНН, и никто не исключал их из общества, не поражал в правах», -- говорит православный священнослужитель. Текст законопроекта более не вызывает принципиальных возражений у представителей исламской и католической конфессий, чему способствовало введение в законопроект презумпции запрета на сбор и обработку персональной информации об этническом происхождении, политических, религиозных и философских убеждениях, состоянии здоровья, судимости и сексуальной ориентации.
Что касается идентификатора персональных данных (не исключено, что этот термин по итогам второго чтения будет заменен на другой -- «учетная запись персональных данных»), то смысл введения такого понятия состоит в том, чтобы упростить процедуру идентификации гражданина в тех ситуациях, когда он сам в этом заинтересован. Вот пример, который, к сожалению, типичен: в паспорте и свидетельстве о рождении гражданина есть различия в написании имени. Например, «Наталья» и «Наталия». В этом случае при юридическом оформлении имущественных прав или права на пенсионное обеспечение возникают бюрократические проблемы, решение которых требует значительных затрат времени и усилий. Идентификатор персональных данных облегчит идентификацию гражданина, потерявшего паспорт за границей, и вообще окажется полезен во множестве иных ситуаций, когда человеку требуется доказать, что он -- это он.
С технологической точки зрения идентификатор персональных данных представляет собой не «номер человека», а индекс для поиска в государственном регистре населения Российской Федерации. Идентификационный номер присваивается не гражданину, а записи в системе. Сам регистр населения не содержит никаких сведений о гражданине, кроме его имени, фамилии, отчества, пола, даты и места рождения. При необходимости идентифицировать гражданина на основании этих сведений генерируются запросы к иным базам данных -- налоговой службы, паспортной системы и пр. Это делает идентификатор персональных данных и регистр населения относительно безопасными в информационном отношении. Даже хищение этих данных злоумышленнику ничего не даст. Чтобы похитить не идентификатор, а сами персональные данные, нужно получить доступ к технологиям запроса персональных данных из государственных баз, а это задача нетривиальная.
По словам заместителя министра информационных технологий и связи Дмитрия Милованцева, в процессе подготовки ко второму чтению учтены многочисленные обращения граждан и организаций, религиозных в том числе, к авторам законопроекта: «Выяснилось, что человек должен иметь возможность сменить свой идентификатор в системах учета персональных данных -- точно так же, как и имя. Ведь смена имен в процессе жизни -- часть множества традиций, религиозных и национальных. Почему с идентификатором, используемым в компьютерных системах, должно быть иначе? Технологических проблем тут нет. Следующий момент: человеку отказывают в обслуживании, если он не предъявляет каких-то специальных удостоверений. Но если он доказал иным способом, что он -- это он, что еще надо? И не важно, как он это доказал. Важно, чтобы доказательства были достаточны».
Законопроект предусматривает, что контроль за соблюдением правил сбора и обработки персональных данных будет возложен на специальный орган, определяемый указом президента. В мировой практике (законы, аналогичные обсуждаемому российскому, приняты во многих странах, европейских в том числе) такими органами часто становятся независимые негосударственные организации. Их задача состоит в реакции на обращения граждан по поводу защиты их законных прав на распоряжение собственной персональной информацией.
В целом закон, обеспечивая принципиальную возможность такой защиты, не избавляет гражданина от ответственности за правильное обращение со своими персональными данными. Наоборот. Если законопроект будет принят, нам придется самим думать, что и кому о себе сообщать, и, если оператор персональных данных допустит их незаконное использование, апеллировать к государству. Законопроект в таких случаях предусматривает для оператора административную ответственность. Авторы документа не исключают, что в дальнейшем будет предусмотрена также ответственность уголовная.
Анна МАЙОРОВА