Разделы

Безопасность Бизнес

Приватность в интернете: угроза не исчезает

В России продолжается стремительный рост телекоммуникаций. Появились более совершенные формы передачи информации, личных контактов, деловых взаимоотношений. Но фундаментальные права и свободы граждан — свобода слова, свобода доступа к информации, право на неприкосновенность частной жизни — в интернете фактически не защищены. Российский интернет растет, и нарушения этих прав и свобод становятся все более частым и масштабным явлением.

Гарантии приватности в российском законодательстве
Ответственность за нарушение приватности в российском законодательстве
Законодательные инициативы
Государственные структуры по защите приватности

Проблема защиты приватности в Интернете — новая не только для нашей страны. Отношение к приватности как фундаментальному праву, нуждающемуся в конституционной защите, характерно лишь для развитых стран Запада. В США такое отношение стало развиваться лишь с конца XIX века. Первые законы о защите персональных данных появились в 70-х годах XX века. В России, еще пропитанной духом социалистического прошлого, ни государство, ни граждане традиционно не считают проблемы приватности приоритетными. На фоне общей картины систематических и грубых нарушений прав и свобод человека ущемление приватности выглядит «незначительным делом», отодвигается на второй план, часто просто замалчивается. Это усугубляется отсутствием методик сбора информации о нарушениях приватности и неразвитостью законодательной базы в области Интернета.

Гарантии приватности в российском законодательстве

Вопросы приватности пользователей Интернета в российском законодательстве регулируются общими нормами о необходимости защиты частной жизни и персональных данных.

Согласно федеральному закону «Об информации, информатизации и защите информации»1, государственные информационные ресурсы являются открытыми и общедоступными. Исключение составляет документированная информация, отнесенная законом к категории ограниченного доступа (информация, отнесенная к государственной тайне и конфиденциальная). Персональные данные относятся к категории конфиденциальной информации. В законе, в частности, сказано: «Персональные данные (сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность) относятся к категории конфиденциальной информации. Не допускается сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения» (ст. 11). Деятельность негосударственных организаций и частных лиц, связанная с обработкой и предоставлением пользователям персональных данных, подлежит обязательному лицензированию. Перечень персональных данных и режим их защиты должны, согласно статьям 11 и 21, устанавливаться федеральным законом (законом о персональных данных), который до настоящего времени в России не принят. Тем временем понятие «персональные данные» появляется в новых законах, в частности в Налоговом кодексе РФ, где к персональным данным отнесены фамилия, имя, отчество, дата и место рождения, пол, адрес места жительства, данные паспорта или иного документа, удостоверяющего личность налогоплательщика, гражданство (ст.84 ч.1).

Тем не менее, само требование о конфиденциальности персональных данных находит отражение в различных отраслях законодательства. Нормы защиты персональных данных присутствуют в федеральном законе «Об актах гражданского состояния»2.

С 1 февраля 2002 года в трудовое законодательство включены нормы, посвященные защите персональных данных работников. Статьи 85-90 Трудового кодекса РФ3 устанавливают гарантии защиты персональных данных, в том числе вводят ограничения на сбор данных по содержанию и объему, устанавливают гарантии соблюдения прав работников при использовании и передаче их персональных данных, закрепляют право на доступ, копирование и исправление своих данных и т. д.

Перечень конфиденциальных данных был определен в указе Президента РФ от 6 марта 1997 года (№ 188)4. Конфиденциальность информации упоминается в законах, связанных с профессиональными тайнами: «О банках и банковской деятельности»5, Основах законодательства Российской Федерации об охране здоровья
граждан6, Семейном кодексе РФ7, Налоговом кодексе и др. На уровне федерального закона установлено свыше 30 видов тайн, а с учетом подзаконных нормативных правовых актов — более 408. Примерно в 45 законах РФ идет речь о различных тайнах9.

Формы защиты приватности самими гражданами в общем виде устанавливаются Гражданским кодексом. Тайна связи гарантируется федеральным законом «О связи»10. В статье 32 этого закона говорится, что «ограничения тайны связи допускаются только на основании судебного решения».

Гарантии прав граждан при проведении оперативно-розыскных мероприятий11 определяются в федеральном законе «Об оперативно-розыскной деятельности в РФ»12. В статье 5 этого закона органам, проводящим оперативно-розыскные мероприятия, вменяется в обязанность обеспечение приватности граждан. В законе также сказано: «Лицо, полагающее, что действия органов, осуществляющих оперативно-розыскную деятельность, привели к нарушению его прав и свобод, вправе обжаловать эти действия в вышестоящий орган, осуществляющий оперативно-розыскную деятельность, прокурору или в суд». Такой же пункт содержится в статье 6 федерального закона «Об органах Федеральной службы безопасности РФ»13.

Хранение материалов, полученных в результате проведения оперативно-розыскных мероприятий, если виновность гражданина не доказана в установленном законом порядке, в соответствии с законом «Об оперативно-розыскной деятельности» ограничено сроком в 1 год, после чего материалы должны быть уничтожены. Эта гарантия, однако, фактически отменяется следующей же оговоркой: «…если служебные интересы или правосудие не требуют иного»14. В 2001 году в закон было внесено дополнение15: «Фонограммы и другие материалы, полученные в результате прослушивания телефонных и иных переговоров лиц, в отношении которых не было возбуждено уголовное дело, уничтожаются в течение шести месяцев с момента прекращения прослушивания, о чем составляется соответствующий протокол. За три месяца до дня уничтожения материалов, отражающих результаты оперативно-розыскных мероприятий, проведенных на основании судебного решения, об этом уведомляется соответствующий судья». Закон запрещает разглашать сведения, которые затрагивают приватность, «без согласия граждан, за исключением случаев, предусмотренных федеральными законами». В законе «Об органах Федеральной службы безопасности РФ» требование об уничтожении данных отсутствует — там говорится лишь о том, что данные не могут быть переданы никому другому.

По состоянию на лето 2002 года закон о персональных данных в Российской Федерации не принят. Нет также специальных законов, регулирующих правоотношения в сети Интернет. В январе 2002 года Правительство Российской Федерации своим постановлением16 приняло федеральную целевую программу «Электронная Россия» на 2002-2010 годы. Среди целей программы упоминается обеспечение права на свободный поиск, получение, передачу, производство и распространение информации, а также права на обеспечение конфиденциальности любой охраняемой законом информации, имеющейся в информационных системах. Для этого авторы программы предусматривают разработку эффективной нормативно-правовой базы. Эта база будет регулировать, в числе прочего, вопросы обеспечения информационной безопасности и реализации конституционных прав граждан. Правда, конфиденциальность не упоминается в числе приоритетов для нормотворчества на ближайшие годы. Ставится лишь задача «правового решения проблем, связанных с проведением оперативно-розыскной деятельности в компьютерных сетях». Другие пункты программы касаются перехода к электронному документообороту, обеспечению информационной безопасности бизнеса и т. д. Объем финансирования программы составит 77179,1 млн. рублей, а главным координатором выступает Министерство РФ по связи и информатизации17.

На региональном уровне нам неизвестны законы, устанавливающие принципиально иные (в сравнении с Конституцией РФ) положения, касающиеся приватности.

Ответственность за нарушение приватности в российском законодательстве

В Российской Федерации существует уголовная ответственность за нарушение приватности. В статье 137 Уголовного кодекса РФ говорится о наказании за нарушение неприкосновенности частной жизни, в статье 138 — за нарушение тайны связи, в статье 139 — за нарушение неприкосновенности жилища. Кроме того, в статье 272 УК установлена ответственность за несанкционированный доступ к охраняемой законом компьютерной информации. Уголовный кодекс предусматривает различные формы наказаний: штраф, исправительные работы, арест, лишение права занимать определенные должности или заниматься определенной деятельностью, а по статье 272 также и лишение свободы на срок до 5 лет (ч.2 ст.272). Максимальный размер штрафа составляет 800 минимальных размеров оплаты труда (МРОТ).

Гражданский Кодекс РФ (часть 2 статьи 150 ГК РФ) относит неприкосновенность частной жизни к охраняемым законом нематериальным благам. Сюда также отнесены достоинство личности, личная неприкосновенность, честь и доброе имя, деловая репутация, личная и семейная тайна. Если гражданину причинен моральный вред (физические или нравственные страдания) действиями, нарушающими его личные неимущественные права либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом, суд может возложить на нарушителя обязанность денежной компенсации указанного вреда (ст .151 ГК РФ).

В Кодексе об административных правонарушениях (вступил в действие с 1 июля 2002 г.) имеется статья 13.11, в соответствии с которой «нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)» влечет предупреждение или наказание в виде штрафа. Максимальный размер штрафа по этой статье — 5 МРОТ, для должностных лиц — 10 МРОТ, для юридических лиц — 100 МРОТ.

Cтатья 13.14 Кодекса об административных правонарушениях устанавливает ответственность за разглашение информации, доступ к которой ограничен федеральным законом (если это не влечет уголовную ответственность), — до 10 МРОТ, для должностных лиц — до 50 МРОТ.

Неправомерный отказ должностного лица в предоставлении информации также является административным правонарушением (статья 5.39) и наказывается штрафом до 10 МРОТ.

Законодательные инициативы18

Закон «Об информации, информатизации и защите информации» 1995 года, по мнению его разработчиков, должен был положить начало развитию новой отрасли законодательства. С тех пор было разработано не менее десятка законопроектов, конкретизирующих базовые принципы закона «Об информации, информатизации и защите информации». Среди них проекты законов «О правовой информации», «О коммерческой тайне», «О праве на информацию», «Об информационном обеспечении экономического развития и предпринимательской деятельности», «О защите информации», «Об информатизации регионального развития», «О защите персональных данных», «Об информационных отношениях в правовой сфере», «Об участии в международном информационном обмене»19, «Об электронной цифровой подписи»20.

Технологии успешного SOC: детектирование атак и создание правил корреляции
Безопасность

Хотя законы в области Интернета в последние годы становятся предметом обсуждения общественности, к сожалению, уровень их подготовки, по мнению сетевых экспертов, часто оставляет желать лучшего.

В начале апреля 2000 года Комитет Государственной Думы по информационной политике предложил законопроект «О регулировании российского сегмента сети Интернет», который вызвал массу негативных откликов. Для недопущения принятия закона в таком виде Интернет-общественность предложила альтернативный вариант закона под названием «О государственной политике Российской Федерации по развитию и использованию сети Интернет». Большинство участников парламентских слушаний 18 мая 2000 года, посвященных этому проекту и законодательству в области Интернета в целом, признало, что необходимости в специальном «законе об Интернете» нет.

Неопределенной на сегодняшний день остается судьба законопроекта «Об информации персонального характера», активная работа над которым началась еще в середине 90-х годов. Проект вносился в Государственную Думу в 1998 году (авторы — депутаты О. Финько, Ю. Нестеров и др.), позже — в октябре 2000 года (авторы — депутаты К. Ветров, А. Шубин и др.), но так и не был принят.

30 октября 2002 года в первом чтении был принят федеральный закон о государственной автоматизированной системе «Выборы» (существует с 1995 года) — общероссийской системе учета и регистрации потенциальных избирателей.

Почему администраторы не заметят миграцию данных в облака
Облака

К числу последних законодательных инициатив относится и предложенная новая редакция федерального закона «О связи»21. В статье 50 этого законопроекта вводятся гарантии защиты данных, которые пользователь сообщает оператору связи. Сведения об абонентах (правда, только о физических лицах) считаются конфиденциальной информацией, не могут быть включены в справочно-информационные издания и не могут использоваться для справочно-информационного обслуживания без письменного согласия самих абонентов. Подобные условия определены и для номеров абонентов22.

Усиление борьбы с терроризмом, которое наблюдается во всем мире после трагедии 11 сентября 2001 года, отразилось и на российском законодательстве. 20 декабря 2001 года Государственная Дума одобрила в первом чтении поправки к законам «О терроризме» и «О средствах массовой информации». Хотя эти поправки не затрагивают собственно онлайновую приватность, они серьезно ограничивают распространение в компьютерных сетях «экстремистских» материалов. Критики указывали на отсутствие в российском законодательстве понятий «экстремизм» и «экстремистские материалы». Однако 30 апреля 2002 года Президент РФ предложил Государственной Думе проект закона «О противодействии экстремистской деятельности». В законопроекте дается очень широкое определение экстремистской деятельности, позволяющее отнести к экстремизму многие проявления общественного протеста. В первой редакции проекта содержалась статья, посвященная Интернету, в которой провайдерам вменялось в обязанность осуществлять цензуру материалов на их серверах. После прохождения через Государственную Думу содержание статьи было изменено на расплывчатую норму, а спорное описание процедуры контроля над содержанием сайтов было исключено23. После октябрьских событий 2002 года24 Государственная Дума сразу в трех чтениях приняла поправки к действующим законам «О средствах массовой информации» и «О терроризме», которые ввели запрет на распространение любой информации, препятствующей проведению антитеррористических операций25.

Государственные структуры по защите приватности

В некоторых странах существует должность государственного защитника приватности (омбудсмана), который отвечает за все законодательство о защите данных, контролирует исполнение закона и проводит соответствующие расследования и т. п. Например, в Германии действуют 17 (по числу федеральных земель) уполномоченных по защите персональных данных. В России подобным квазисудебным органом являлась Судебная палата по информационным спорам при Президенте РФ. В ее задачи входила защита прав граждан на неприкосновенность частной жизни. Этот «коллективный омбудсман» действовал через средства массовой информации. Решения Судебной палаты могли и по форме, и по существу иметь только рекомендательный характер, но обычно эти рекомендации исполнялись. Судебная палата по информационным спорам прекратила свое существование при Президенте Путине26.

Сегодня в Российской Федерации отсутствуют специальные государственные органы или должности, чьей задачей является защита приватности в Интернете или приватности вообще.

Уполномоченный по правам человека (с 1998 г. по настоящее время эту должность занимает доктор юридических наук, профессор О. О. Миронов)27 готовит ежегодные доклады о своей деятельности и о нарушениях прав человека в Российской Федерации. В докладе за 2000 год Уполномоченный по правам человека РФ предложил «разработать федеральный закон о неприкосновенности частной жизни граждан, который обеспечивал бы охрану личной и семейной тайны, регулировал бы сбор, хранение и использование информации, затрагивающей сферу частной жизни»28. В докладе за 2001 год Уполномоченный отметил, что «пока не разработаны международно-правовые принципы информационных и сопутствующих им прав и свобод человека». В качестве решения этой проблемы Уполномоченный предложил разработать и принять специальный протокол к Всеобщей декларации прав человека, а также «объединить усилия в целях скорейшего подписания Международного пакта об информационных и им сопутствующих правах»29. О конкретных нарушениях прав человека на неприкосновенность частной жизни в докладах ничего не говорится.

В октябре 2001 года на встрече с журналистами и правозащитниками была образована секция СМИ Экспертного совета при Уполномоченном. В числе ее задач упомянута «защита граждан от распространения информации об их частной жизни, от посягательств на личную и семейную тайну».

В органах внутренних дел существуют так называемые «управления `Р`», которые занимаются расследованиями преступлений в сфере высоких технологий. В их задачи входит и борьба с посягательствами на приватность граждан. Тем не менее дела, которые ведут сотрудники этих органов, как правило, связаны не с нарушениями конституционных прав, а с похищениями информации, вскрытиями систем защиты, противоправными вторжениями в системы связи, распространениями контрафактных («пиратских») носителей с программами, базами данных и др.

Межрегиональная группа «Правозащитная сеть»

Материал предоставлен составителями пилотного обзора «Приватность (право на неприкосновенность частной жизни) в российском Интернете». Обзор проводился летом-осенью 2002 года силами сотрудников Межрегиональной группы «Правозащитная сеть» при финансовой поддержке Фонда Форда.

Тема обзора — оценка состояния приватности (права на неприкосновенность частной жизни) в российском Интернете. Эти проблемы редко освещаются в средствах массовой информации и специальной литературе. В Обзоре описаны законодательная база, некоторые законотворческие инициативы, позиция и роль государственных структур и общественных объединений. Большое внимание уделено саморегулированию — рассматриваются взаимоотношения между провайдерами и владельцами информационных ресурсов, с одной стороны, и клиентами (пользователями Интернета) — с другой стороны. Так же содержится обзор персональных программных средств защиты приватности, используемых в российском интернете.

Редактор-составитель Обзора — С. А. Смирнов. Авторский коллектив — С. А. Смирнов, О. Н. Кочева, А. Ю. Блинушов, Ф. В. Шведовский, Г. В. Лысенко; консультант по юридическим вопросам — В. Б. Наумов.


1Федеральный закон № 24-ФЗ от 12 марта 1996 года.
2Федеральный закон № 143-ФЗ от 15 ноября 1997 года.
3Трудовой кодекс РФ № 197-ФЗ от 30 декабря 2001 года.
4Данный указ устанавливает закрытый перечень сведений, которые можно отнести к конфиденциальным. Сужение круга сведений, нуждающихся в защите, можно расценивать как противоречие Конституции, так как оно может служить основанием для нарушения приватности.
5Федеральный закон № 395-1 от 2 декабря 1990 года.
6Федеральный закон № 5487-1 от 22 июля 1993 года.
7Семейный кодекс РФ № 223-ФЗ от 29 декабря 1995 года.
8Концепция развития законодательства РФ в сфере информации и информатизации (Проект, Минсвязи России, 2001 г.).
9Иосиф Дзялошинский «Проект закона „О праве на информацию“ вызывает много вопросов. Будут ли получены на них ответы?»
10Федеральный закон № 15-ФЗ от 16 февраля 1995 года.
11Эта тема подробно рассмотрена в книге «Защита прав граждан при внедрении системы оперативно-розыскных мероприятий», изданной общественной организацией «Гражданский контроль» в 2000 году (Санкт-Петербург).
12Федеральный закон № 144-ФЗ от 12 августа 1995 года.
13Федеральный закон № 40-ФЗ от 3 апреля 1995 года.
14Статья 5 Федерального закона «Об оперативно-розыскной деятельности» от 12 августа 1995 года (№ 144-ФЗ).
15Дополнение внесено Федеральным законом РФ № 26-ФЗ от 20 марта 2001 года.
16Постановление Правительства РФ № 65 от 28 января 2002 года.
17Подробнее о программе «Электронная Россия» можно прочесть здесь и здесь
18О законодательных инициативах по регулированию Интернета подробно рассказывается в книге В. Б. Наумова «Право и Интернет: очерки теории и практики» (М.: Книжный дом «Университет», 2002).
19Закон «О международном информационном обмене» № 85-ФЗ от 4 июля 1996 года.
20Закон «Об электронной цифровой подписи» № 1-ФЗ от 10 января 2002 года.
21Проект Федерального закона N 228044-3 «О внесении изменений и дополнений в Федеральный закон «О связи».
22В соответствии со статьей 43 законопроекта, оператор должен предоставлять информацию о номерах абонентов своей сети «организациям, заинтересованным в издании телефонных справочников и создании своих систем информационно-справочного обслуживания». Для абонентов — физических лиц сделана оговорка: «…только с письменного согласия абонентов».
23Закон «О противодействии экстремистской деятельности» № 114-ФЗ от 25 июля 2002 года.
2423 октября 2002 года группа чеченских боевиков захватила в одном из московских театров около 800 заложников и удерживала их более трех суток, требуя от российского правительства вывести войска из Чечни. (В Чечне с 1999 года идет вооруженное противостояние федеральных сил и отрядов чеченцев-боевиков.) Утром 26 октября спецслужбы предприняли газовую атаку и штурм здания театра, в результате чего террористы были убиты, 128 заложников погибло от отравления газом, остальные заложники были освобождены. Трагедия в Москве послужила толчком к ужесточению антитеррористических мер в стране.
25Правительство РФ называет войну в Чечне анти- или контр-террористической операцией.
26Судебная палата была ликвидирована Указом Президента № 1031 от 3 июня 2000 года «О формировании Администрации Президента Российской Федерации».
27Уполномоченный по правам человека РФ действует в соответствии с Федеральным конституционным законом «Об Уполномоченном по правам человека в Российской Федерации» (№ 1-ФКЗ от 26 февраля 1997 года, принят Государственной Думой 25 декабря 1996 года, вступил в силу 4 марта 1997 года).
28О разработке такого закона авторам настоящего обзора ничего не известно.
29Документ с таким названием до настоящего времени не появлялся.

Подписаться на новости Короткая ссылка