Теоретико-правовые аспекты защиты персональных данных

Белгородцева, Наталья Глебовна

Теоретико-правовые аспекты защиты персональных данныхтекст автореферата и тема диссертации по праву и юриспруденции 12.00.01 ВАК РФ

АВТОРЕФЕРАТ ДИССЕРТАЦИИ
по праву и юриспруденции на тему «Теоретико-правовые аспекты защиты персональных данных»

На правах рукописи

БЕЛГОРОДЦЕВА НАТАЛЬЯ ГЛЕБОВНА

Теоретико-правовые аспекты защиты персональных данных

Специальность 12.00.01 - Теория и история права и государства; история учений о праве и государстве

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата юридических наук

2 4 Шй 2012

Москва 2012

005044947

Работа выполнена на кафедре теории и история государства и права НОУ ВПО «Международный юридический институт»

Научный руководитель: доктор юридических наук, профессор

Певцова Елена Александровна

Официальные оппоненты: доктор юридических наук, профессор

Рассолов Илья Михайлович

кандидат юридических наук, доцент Смирнов Михаил Гурамович

Ведущая организация: Академия Управления МВД России

Защита состоится «30» мая 2012 г. в 15:00 часов на заседании объединенного диссертационного совета ДМ 521.077.01 при Московском новом юридическом институте, по адресу: 107564, г. Москва, Погонный проезд, Д. 7А.

С диссертацией можно ознакомиться в библиотеке НОЧУ ВПО «Московский новый юридический институт».

Автореферат размещен на официальном сайте Московского нового юридического института www.mnui.ru и официальном сайте Высшей аттестационной комиссии Министерства образования и науки Российской Федерации http://vak.ed.gov.ru_2012 г.

Автореферат разослан <<2<Р■> 2012 г.

Ученый секретарь диссертационного совета кандидат юридических наук О.В. Дробот

Общая характеристика работы

Актуальность темы диссертационного исследования. Научно-технический прогресс обусловил значительное увеличение объема информации, обрабатываемой автоматизированным способом. Наряду с этим динамично развиваются общественные отношения, связанные с обработкой информации, содержащей персональные данные физических лиц. Эти отношения объективно нуждаются в правовом урегулировании.

В Российской Федерации правовое регулирование общественных отношений, связанных с защитой персональных данных, обеспечивается Федеральным законом «О персональных данных» № 152-ФЗ от 27 июня 2006 г.1

Цель принятия данного закона состояла в обеспечении правовой защиты граждан в условиях бурного роста баз персональных данных, создаваемых на основе новейших компьютерных технологий, и усилившегося интереса к ним со стороны различных, в том числе криминальных, структур.

Реализация этого закона началась существенно позже его принятия, так как его вступление в силу совпало по времени с проведением административной реформы и частым перезакреплением функций уполномоченного органа по защите прав субъектов персональных данных за разными органами исполнительной власти. Подзаконные акты Правительства Российской Федерации и отдельных ведомств появились также с опозданием. Таким образом, трудности, возникшие в процессе реализации законодательных норм в сфере защиты персональных данных, наиболее очевидно стали проявляться именно сейчас.

Современные реалии обусловили постановку новых задач, связанных с реализацией международных обязательств России и ее участием в формировании системы трансграничной передачи персональных данных в рамках международных соглашений. В настоящее время возникла потребность в со-

1 Федеральный закон «О персональных данных» № 152-ФЗ от 27 июля 2006 г. (с изм., внесенными Федеральным законом № 261-ФЗ от 25 июля 2011 г.) // Российская газета. - 2006. - 29 июля; 2011. -28 июля.

вершенствовании организационно-правового обеспечения использования всех массивов персональных данных на основе законодательного закрепления прав, обязанностей и ответственности держателей (обладателей) этих массивов.

Защита персональных данных обеспечивает реализацию конституционных прав человека на неприкосновенность частной жизни, личную и семейную тайну (ст. 23 Конституции РФ) и ограничение возможности сбора, хранения, использования и распространения информации о частной жизни (ст. 24 Конституции РФ).

С развитием информационных технологий, созданием баз данных возникла новая угроза этим правам - возможность легкого копирования и объединения персональных данных. В последнее десятилетие многие картотеки и базы данных государственных и иных структур преобразованы в электронную форму. По тем или иным причинам они оказались доступны третьим лицам и стали являться объектом купли-продажи. Последнее обстоятельство ведет к неконтролируемому использованию данной информации. Между тем сам факт продажи баз данных или иного распространения содержащейся в них информации представляет повышенную общественную опасность, так как сведения конфиденциального характера могут быть использованы во вред конкретному лицу (субъекту персональных данных).

Для защиты конституционных прав граждан от любых посягательств необходима строгая правовая регламентация оборота баз данных, содержащих персональные данные, в том числе установление юридической ответственности операторов этих баз за нарушение правил сбора, хранения и использования персональных данных. Это позволит гарантировать эффективную правовую защиту интересов отдельных граждан и общества в целом. Все эти и многие другие обстоятельства актуализируют данную тему и обусловливают необходимость ее разработки в теоретико-правовом контексте.

Степень научной разработанности темы. Избранная тема в юридической науке с позиции теории права является одной из малоизученных. Пра-

вовые отношения, связанные со сбором, обработкой, хранением, использованием и передачей персональных данных, которые возникают между разными субъектами в результате создания мощных компьютерных баз данных, еще не выступали самостоятельным объектом теоретико-правового исследования.

Отраслевые аспекты данной тематики затрагивались в отдельных работах отечественных правоведов - представителей конституционного, административного, информационного права и других отраслевых юридических наук. Исследованием смежных вопросов занимались В.М. Баранов, Н.Г. Беляева, В.Л. Гейхман, М.Ю. Емельянников, К.А. Занин, И.Я. Киселев, А.П. Курило, A.B. Кучеренко, М.А. Лапина, Е.А. Лукашева, A.M. Лушников, Л.Ф. Марин, В.Н. Монахов, Е.Л. Никитин, М.А. Осипова, A.C. Пиголкин, И.М. Рассолов, Д.С. Сентябов, Н. Свиридова, И.В. Смалькова, О.С. Соколова, А. То-каренко, A.C. Федосин, Д.С. Черешкина, Д.В. Черняев и др., в работах которых освещены различные аспекты правового регулирования персональных данных. При этом вопросы теоретико-правового характера практически не изучались.

Между тем именно теоретико-правовое знание способно оказать существенную помощь законодателю в разработке юридических конструкций, позволяющих смоделировать будущий механизм реализации нормативных предписаний, направленных на урегулирование общественных отношений в области использования и защиты персональных данных, и тем самым оптимизировать правотворческую и правоприменительную деятельность государственных и муниципальных органов, а также минимизировать дефекты принимаемых нормативных правовых актов в данной области.

Объект и предмет исследования. Объектом диссертационного исследования являются общественные отношения, связанные с защитой персональных данных.

Предмет исследования составили юридические нормы (международно-правовые, законодательства европейских государств и Российской Федерации), обеспечивающие защиту персональных данных физических лиц; прак-

тика реализации соответствующих положений федеральных законов органами исполнительной власти Российской Федерации, организациями и учреждениями, а также организационно-правовой механизм защиты этих данных в автоматизированных информационных системах.

Цель и задачи исследования. Цель диссертационного исследования состоит в установлении и раскрытии наиболее общих закономерностей формирования и развития института защиты персональных данных.

Для достижения поставленной цели были решены следующие задачи:

■ обобщить, систематизировать и подвергнуть критическому анализу существующие в научной литературе взгляды по ключевым теоретическим и прикладным вопросам формирования и функционирования института защиты персональных данных на международном и национальном уровнях;

■ изучить опыт международного сообщества и зарубежных стран в области правового обеспечения защиты персональных данных, выявить существующие тенденции в этой сфере и определить возможности использования этого опыта в законотворческой практике и правоприменительной деятельности органов государственной власти Российской Федерации;

■ проанализировать нормативные правовые акты Российской Федерации, регулирующие общественные отношения в сфере защиты персональных данных;

■ выявить предпосылки формирования относительно самостоятельного нормативного комплекса, регулирующего общественные отношения в сфере защиты персональных данных, определить его место и роль в системе права;

■ определить природу норм, составляющих данный нормативный комплекс, а также его системообразующие элементы;

■ разработать универсальное понятие защиты персональных данных, пригодное как для научного исследования, так и для правоприменительной практики;

■ раскрыть цель защиты персональных данных, а также содержание соответствующего субъективного права;

■ определить принципы, на которых должно осуществляться правовое регулирование защиты персональных данных;

■ выявить специфику правоотношений, связанных с защитой персональных данных;

■ изучить, обобщить и синтезировать практику реализации российского законодательства, регулирующего защиту персональных данных, органами исполнительной власти Российской Федерации, организациями и учреждениями;

■ установить причины несоответствия практики защиты персональных данных органами исполнительной власти Российской Федерации, организациями и учреждениями требованиям федеральных законов;

■ разработать предложения по совершенствованию правового регулирования общественных отношений в сфере защиты персональных данных, а также материального, организационного и технического обеспечения этой деятельности;

■ подготовить методические рекомендации по обеспечению безопасности персональных данных при их обработке в автоматизированных информационных системах.

Методологическая основа исследования. Методологическую основу исследования составили всеобщий диалектический метод познания и основанные на нем общие и частные научные методы исследования, позволяющие изучать явления окружающей действительности в их взаимосвязи, взаимозависимости и взаимообусловленности (системный, анализ, синтез, индукция, дедукция и др.). Активно применялись сравнительно-правовой, структурно-функциональный и формально-юридический методы, метод экстраполяции и др. В процессе работы над диссертацией использовались также социологические методы исследования, в частности метод экспертных оценок.

Теоретическая основа исследования. В своем исследовании автор опирался на работы теоретиков права, а также специалистов в области отраслевых юридических наук: С.С. Алексеева, B.JI. Гейхмана, С.Ю. Головиной, Ю.И. Гревцова, Ю.А. Дмитриева, О.С. Иоффе, Н.М. Коркунова, А.П. Курило, В.В. Лазарева, Е.А. Лукашевой, A.B. Малысо, Н.И. Матузова, A.C. Пиголки-на, М.Ю. Романовской, О.С. Соколовой, А. Токаренко, Ю. Травкина, E.H. Трубецкой, A.C. Федосина, P.O. Халфиной, В.Н. Храпанюка, Д.С. Черешки-на, М.Д. Шаргородского, Г.Ф. Шершеневича и др.

Значительное влияние на взгляды диссертанта оказали труды исследователей правовой проблематики обработки, хранения, передачи и защиты персональных данных: В.М. Баранова, И.Л. Бачило, М. Башлыкова, Е. Бродской, А. Волкова, М.Ю. Емельянникова, К.А. Занина, Ю. Кантемирова, А. Каптерева, И.Я. Киселева, A.B. Кучеренко, A.M. Лушникова, М.В. Мо-лодцова, В.Н. Монахова, М.А. Осиповой, А. Санина, Д.С. Сентябова, А. Сер-кго, О. Слепова, И.В. Смольковой, А. Токаренко, Е. Царева, Д.В.Черняевой, Д. Шишулина и др.

Источниковедческую базу исследования составили международные правовые акты о правах человека в сфере защиты персональных данных, законы ряда европейских государств, обеспечивающие защиту персональных данных, Конституция Российской Федерации, федеральные законы, Указы Президента Российской Федерации, Постановления Правительства Российской Федерации и ведомственные приказы в области защиты информации.

Эмпирической базой исследования явилась практическая деятельность сотрудников ОВД в сфере обработки и защиты персональных данных в Главном управлении Министерства внутренних дел Российской Федерации по городу Москве (ГУ МВД России по г. Москве).

Научная новизна диссертационного исследования. Настоящая работа является одним из первых монографических научных исследований, посвященных изучению общих закономерностей развития и функционирования института защиты персональных данных, в результате которого:

■ выявлены современные тенденции в правовом регулировании общественных отношений, связанных с защитой персональных данных, в зарубежных странах и на уровне международного сообщества;

■ раскрыты предпосылки формирования института защиты персональных данных в Российской Федерации и его системообразующие элементы, определены место и роль данного института в системе российского права, обоснованы его комплексный характер и межотраслевое значение;

■ предложено определение понятия «защита персональных данных»;

■ раскрыты и уточнены цель защиты персональных данных и теоретико-правовое содержание соответствующего субъективного права;

■ предложена система принципов, на которых должно осуществляться правовое регулирование защиты персональных данных;

■ на доктринальном уровне раскрыта специфика правоотношений, связанных с защитой персональных данных;

■ установлены причины несоответствия практики защиты персональных данных органами исполнительной власти Российской Федерации, организациями и учреждениями требованиям федеральных законов;

■ выявлены пробелы и коллизии в правовом урегулировании рассматриваемых общественных отношений;

■ подготовлены предложения по совершенствованию правового регулирования общественных отношений в сфере защиты персональных данных;

■ разработана авторская методика обеспечения безопасности персональных данных при их обработке в автоматизированных информационных системах.

На защиту выносятся следующие положения.

версализма в этой области, что выражается в формировании общих (наднациональных) подходов к правовому регулированию общественных отношений, связанных с защитой персональных данных, и международных стандартов их государственно-правовой защиты. Последние выступают правовым ориентиром в развитии российского законодательства, устанавливающего правовые механизмы защиты персональных данных, и его правоприменительной практике.

2. В современных условиях сложились предпосылки для обособления в системе права относительно самостоятельного нормативного комплекса, в котором по предметному признаку объединены разнообразные по своей природе правовые нормы, регулирующие общественные отношения, связанные с защитой персональных данных физических лиц.

В системе права его следует позиционировать как комплексный правовой институт - «институт защиты персональных данных», в основу которого положены нормы международного публичного и частного права, а также конституционного, административного, гражданского, уголовного, трудового, информационного и других отраслей национального права.

3. Комплексный характер данного института, а также предмета его регулирования не позволяет согласиться с его характеристикой как моноотраслевого института, входящего в состав отрасли информационного права. Специфика общественных отношений, регулируемых данным институтом, а также отраслевая природа составляющих его юридических норм обусловливают межотраслевое (комплексное) регулирование.

Признавая высокую динамику развития данного института, его количественных и качественных характеристик, приходится констатировать, что на современном этапе он еще не приобрел признаков самостоятельной отрасли права, поэтому утверждения об отраслевой самостоятельности данного нормативного комплекса, существующие в юридической науке, представляются ошибочными, лишенными объективных оснований.

4. Институт защиты персональных данных является одной из юридических гарантий конституционных прав человека на неприкосновенность частной жизни, на личную и семейную тайну, которые корреспондируют юридические обязанности других субъектов на сохранность этой тайны и обеспечение конфиденциальности персональных данных. Именно эти конституционные права человека и сфера их реализации являются системообразующими элементами данного нормативного комплекса.

5. Под защитой персональных данных предлагается понимать действия субъектов соответствующих правоотношений, направленные на достижение определенной степени безопасности личной информация и персональных данных, в целях:

« предотвращения утечки, хищения, утраты, искажения, подделки персональных данных субъектов;

защиты от несанкционированного доступа и действий по уничтожению, модификации, искажению, копированию и блокированию информации, касающейся персональных данных, а также предотвращения других форм незаконного вмешательства в информационные ресурсы;

■ защиты конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

■ обеспечения прав субъектов в информационных процессах при разработке, производстве и применении информационных систем, технологий и средств их обеспечения;

■ предотвращения нанесения возможного ущерба субъекту персональных данных (нанесение вреда здоровью, незапланированные финансовые или материальные затраты, потеря субъектом свободы действий вследствие шантажа и угроз, осуществляемых с использованием персональных данных, нарушение конституционных прав субъекта вследствие вмешательства в его личную жизнь путем осуществления контактов с ним по различным поводам без его согласия).

6. Содержание права на защиту персональных данных составляют правомочия, ограничивающие возможность третьих лиц совершать какие-либо действия с персональными данными лица без его согласия, а также правомочия субъектов персональных данных контролировать действия операторов, обрабатывающих эти данные.

7. Правовое регулирование защиты персональных данных должно основываться на таких принципах, как: конфиденциальность получаемых персональных данных и ограничение доступа к ним иных лиц; достоверность и полнота персональной информации; целевой характер персональной информации, ее обработки и хранения; законность целей и способов сбора и обработки персональной информации; добросовестность оператора; свободный доступ лица к своим персональным данным, право на полную информацию о них; недопустимость объединения баз персональных данных, созданных для несовместимых между собой целей; недопустимость создания информационных ресурсов персонального характера, закрытых или ограниченных в доступе для субъекта персональных данных, кроме случаев, предусмотренных федеральным законом; гарантированность государством субъективных прав лица, связанных с защитой его персональных данных.

8. Диссертантом определены особенности правоотношений, связанных с защитой персональных данных, которые состоят в следующем:

1) они имеют конституционно-правовую природу, так как связаны с обеспечением права человека на неприкосновенность частной жизни и смежных с ним конституционных прав в условиях развития технологий автоматизированной обработки информации;

2) эти отношения связаны с реализацией прав (или полномочий) других субъектов, определенных Конституцией РФ, что порождает разнообразные конфликты интересов сторон данных правоотношений;

3) их участниками являются специфические субъекты: оператор баз данных, собственник баз данных, субъект персональных данных и уполномоченный орган, который рассматривает обращения субъекта персональных

данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение;

4) объектом этих отношений является любая документированная информация, содержащаяся в информационных системах, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу;

5) они обладают специфическим содержанием, особенности которого выражаются в том, что оператор имеет не только юридические обязанности, но и право на получение определенной информации о субъекте персональных данных, объем которой предусмотрен законами и подзаконными актами. Соответственно у субъекта персональных данных возникает обязанность представить такую информацию, которая должна удовлетворять требованиям полноты и достоверности;

6) реализация субъективных прав их участников непосредственно зависит от этапов развития правоотношений;

7) эти отношения носят правозащитный характер.

9. Проведенный анализ содержания института защиты персональных данных, а также практики реализации его норм в деятельности органов исполнительной власти показал, что правовая основа защиты персональных данных в Российской Федерации не образует прочной и единой системы норм. Нормативные акты, закрепляющие соответствующие правовые нормы, содержат достаточно много неточностей как теоретического, так и практического характера. Имеют место явные пробелы и коллизии в правовом урегулировании рассматриваемых общественных отношений.

В целях совершенствования правового регулирования упомянутых отношений, а также преодоления негативных явлений в сфере защиты персональных данных необходимы конкретизация, уточнение и разъяснение положений закона, в частности понятия «персональные данные», и определение места персональных данных в системе информации ограниченного доступа.

В этой связи предлагается:

■ внести изменения в Федеральный закон «Об информации, информационных технологиях и о защите информации» № 149-ФЗ от 27 июля 2006 г. (в ред. Федеральных законов № 227-ФЗ от 27 июля 2010 г., № 65-ФЗ от 6 апреля 2011 г., № 252-ФЗ от 21 июля 2011 г.), изложив п. 12 ст. 2 этого закона в следующей редакции: «оператор информационной системы - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в базах данных»;

■ отнести персональные данные к государственной тайне либо конфиденциальной информации, закрепив в федеральном законе норму следующего содержания: «...персональные данные, классифицированные по классу К1, К2, отнести к сведениям, составляющим государственную тайну; персональные данные, классифицированные по классу КЗ, К4, - к сведениям конфиденциального характера».

10. В целях обеспечения защиты персональных данных в современных условиях, наряду с правовыми и организационно-техническими мерами по обеспечению информационной безопасности в целом и защиты персональных данных в частности, должны быть реализованы такие меры неправового характера, как разработка программ обеспечения информационной безопасности и определение порядка их финансирования; совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических способов защиты информации, создание системы страхования информационных рисков физических и юридических лиц, подготовка квалифицированных кадров для работы в сфере защиты персональных данных.

Вместе с тем необходимо повышать качество правоприменительной деятельности федеральных органов исполнительной власти, направленной на предупреждение и пресечение правонарушений в сфере защиты персональ-

ных данных, а также выявление, изобличение и привлечение к ответственности лиц, совершивших преступления и другие правонарушения в этой сфере.

Теоретическая и практическая значимость работы. В диссертации решена научная задача, состоящая в подготовке научно обоснованных предложений по преодолению существующего противоречия между содержанием правового регулирования общественных отношений, связанных с защитой персональных данных в Российской Федерации, и объективными общественными потребностями, а также тенденциями государственной практики в данной сфере.

Результаты проведенного диссертационного исследования могут быть использованы:

■ в нормотворческой деятельности, направленной на совершенствование правового регулирования общественных отношений, связанных с защитой персональных данных в Российской Федерации;

■ при проведении фундаментальных и прикладных исследований, посвященных проблемам защиты персональных данных, в рамках как общей теории государства и права, так и отраслевых юридических наук;

■ в учебном процессе высших учебных заведений юридического профиля при изучении учебного курса «Теория государства и права», спецкурса «Правовые основы защиты персональных данных», а также в процессе подготовки специалистов в области информационной безопасности.

Апробация результатов исследования. Диссертация подготовлена на кафедре теории и истории государства и права НОУ ВПО «Международный юридический институт», где было проведено ее рецензирование и обсуждение. Материалы исследования нашли отражение в научных публикациях автора, включая статьи в ведущих правовых журналах, рекомендованных ВАК России. Результаты исследования излагались в научных докладах и обсуждались на научных конференциях, «круглых столах» и семинарах, а также использовались в учебном процессе юридического факультета и факультета

СПО Международного юридического института при проведении учебных занятий по дисциплине «Теория государства и права».

Результаты исследования были апробированы в процессе разработки презентаций материалов о внедрении новых технологий обучения в процесс подготовки юристов, а также специалистов других профильных направлений и специальностей в сфере защиты персональных данных.

Они были положены в основу разработанных диссертантом методических рекомендаций по обеспечению безопасности персональных данных при их обработке в автоматизированных информационных системах, эксплуатируемых в организациях и на предприятиях.

Авторские рекомендации были использованы при подготовке локальных правовых актов во Всероссийском заочном финансово-экономическом институте, эксплуатирующем информационные системы обработки персональных данных, для разработки технических и организационных мер, направленных на обеспечение соблюдения требований безопасности и реализации права граждан (педагогов, студентов, сотрудников) на защиту их персональных данных. Они внедрены в образовательный процесс этого вуза и используются для самостоятельной работы студентов, обучающихся по направлениям «Менеджмент», «Бизнес-информатика», «Государственное и муниципальное управление», «Юриспруденция», «Прикладная информатика».

Структура и объем работы определяются целью и задачами исследования, а также избранной автором логикой изложения материала. Диссертация состоит из введения, трех глав, включающих восемь параграфов, заключения, списка использованной литературы и приложений. В приложения включены подготовленные автором Методические рекомендации по обеспечению безопасности персональных данных при их обработке в автоматизированных информационных системах.

Содержание работы

Во введении обосновывается актуальность темы диссертационного исследования, определяются его объект, предмет, цель и задачи, освещаются вопросы теоретической разработанности темы, методологические основы исследования, раскрываются научная новизна и практическая значимость работы, формулируются основные положения, выносимые на защиту, приводятся данные об апробации полученных результатов и структуре работы.

В первой главе «Правовые отношения в сфере защиты персональных данных» дана общая характеристика упомянутых в названии главы правоотношений, рассмотрены вопросы специфики их объекта, субъектов и содержания, а также эволюции правового регулирования этих отношений в различных национальных правовых системах.

Первый параграф посвящен анализу международной практики и опыта отдельных стран в сфере правового обеспечения защиты персональных данных. Диссертантом выявлены и раскрыты существующие в этой сфере тенденции, среди которых особо отмечено формирование общих (наднациональных) подходов к правовому регулированию рассматриваемых общественных отношений, а также международных стандартов государственно-правовой защиты персональных данных.

Кроме того, диссертантом проанализировано законодательство ряда европейских государств в области правовой защиты персональных данных, выделены этапы его становления, обобщен положительной опыт правового регулирования рассматриваемых правоотношений и показаны перспективы его использования в законотворческой практике Российской Федерации. Особое внимание уделено вопросу формирования предпосылок становления законодательства о защите персональных данных в России.

Во втором параграфе диссертантом рассмотрено содержание правоотношений, связанных с защитой персональных данных. В работе обоснована связь этих правоотношений со сферой частной жизни человека, а также с конституционным правом человека на неприкосновенность частной жизни и

информации о нем, отмечена объективная необходимость защиты этого права вообще и конфиденциальности персональных данных в частности.

Защищенность — это действия уполномоченных субъектов, направленные на достижение определенной степени безопасности «объекта». В контексте темы настоящего исследования таким объектом являются информация о личности (персональные данные). Согласно общепризнанной точке зрения защита персональных данных обеспечивается в целях сохранения конфиденциальности, целостности и недоступности такой информации для третьих лиц. На основании критического осмысления данного тезиса, диссертантом уточнены цели защиты персональных данных (см. положение на защиту №5).

Под защитой персональных данных автор предлагает понимать действия субъектов соответствующих правоотношений, направленные на достижение определенной степени безопасности личной информация и персональных данных в указанных целях.

Характеризуя право на защиту персональных данных, автор пришел к выводу, что его содержание составляют правомочия, ограничивающие возможность третьих лиц совершать какие-либо действия с персональными данными лица без его согласия, а также правомочия субъектов персональных данных контролировать действия операторов, обрабатывающих эти данные.

В работе рассмотрены общие и особые условия обработки персональных данных, уточнены принципы их защиты (см. положение на защиту № 7), проанализированы подходы к делению этих данных на категории, а также правовые ограничения их сбора, обработки и передачи.

Особое внимание уделено правовому положению органов, осуществляющих контрольные и надзорные функции за соблюдением законодательства о защите персональных данных в процессе их обработки. Диссертантом проведен сравнительный анализ российского законодательства и законодательства некоторых зарубежных стран, определяющих деятельность государственных органов, призванных контролировать сбор, обработку и защиту

персональных данных, их статус, структуру и компетенцию. На этой основе сделан вывод о перспективах совершенствования институционального оформления деятельности данных органов в Российской Федерации.

В третьем параграфе рассмотрены теоретико-правовые вопросы субъектного состава правоотношений, связанных с защитой персональных данных, даны понятие и характеристика их субъектов. К таким субъектам диссертантом отнесены: оператор баз данных, собственник баз данных, субъект персональных данных и уполномоченный орган, который рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов обработки целям их обработки и принимает соответствующее решение.

В совокупности правоотношения, связанные с защитой персональных данных, образуют систему. Системные взаимосвязи этих правоотношений выявляются при анализе правовых статусов их участников. В работе проанализирована специальная правосубъектность участников рассматриваемых правоотношений и обоснован вывод о том, что специфика их субъектного состава составляет одну из существенных особенностей этих правоотношений.

Четвертый параграф посвящен теоретико-правовой характеристике объекта рассматриваемых правоотношений. В этом качестве в самом общем виде выступает любая информация, с помощью которой можно идентифицировать физическое лицо (субъект персональных данных). Персональная информация - это зафиксированная на любом материальном носителе информация о конкретном человеке, которая отождествлена или может быть отождествлена с ним.

Автор пришел к выводу, что объект рассматриваемых правоотношений имеет конституционно-правовую природу, так как он связан с обеспечением права человека на неприкосновенность частной жизни. По мнению диссертанта, объектом этих отношений в строго юридическом понимании является любая документированная информация, содержащаяся в информационных

системах, неправомерное обращение с которой (без согласия субъекта персональных данных) может нанести имущественный и иной ущерб ее собственнику, владельцу, пользователю и иному лицу. Его следует рассматривать как особый объект государственно-правовой охраны, непосредственно связанной с обеспечением неприкосновенности частной жизни.

Объекты правоотношений, связанных с защитой персональных данных, могут быть классифицированы на общедоступные и специальные.

Общедоступными являются данные, доступ к которым субъекта персональных данных предоставлен неограниченному кругу лиц с согласия или на которые в соответствии с федеральными законами не распространяются требования соблюдения конфиденциальности (фамилия, имя, отчество), и документы, подтверждающие личность, пол, возраст, год и место рождения, адрес, абонентский номер, сведения о профессии и т.п.

К специальным объектам относятся биометрические данные, сведения о состоянии здоровья и сексуальной ориентации, национальной, этнической и расовой принадлежности, привычках и увлечениях, в том числе «вредных» (алкоголь, наркотики и др.), религиозных и политических убеждениях (принадлежность к конфессии, членство в политической партии, участие в общественных объединениях, в том числе в профсоюзах, и др.), финансовом положении (доходы, долги, владение недвижимым имуществом, денежные вклады и др.), деловых и иных личных качествах, которые носят оценочный характер.

Указанные виды объектов имеют различные правовые режимы регулирования.

Во второй главе «Правовое регулирование защиты персональных данных в современной России» приведен анализ нормативных правовых актов, обеспечивающих защиту персональных данных в Российской Федерации, дана теоретико-правовая характеристика института защиты персональных данных как элемента системы права.

В первом параграфе второй главы представлены результаты анализа федеральных законов и подзаконных актов, регулирующих общественные отношения, связанные с защитой персональных данных, а также положений методических документов, содержащих рекомендации организационного и технического характера по обеспечению безопасности этих данных.

Проведенный анализ содержания рассматриваемого института, а также практики реализации его норм в деятельности органов исполнительной власти показал, что правовая основа защиты персональных данных в Российской Федерации не образует прочной и единой системы норм. Нормативные акты, закрепляющие соответствующие правовые нормы, содержат достаточно много неточностей как теоретического, так и практического характера. Имеют место явные пробелы и коллизии в правовом урегулировании рассматриваемых общественных отношений.

Вместе с этим автор констатировал существование общественной потребности в совершенствовании законодательных основ защиты персональных данных, в частности пересмотра принципов, методов и форм правового регулирования в сфере защиты персональных данных.

Во втором параграфе второй главы дана теоретико-правовая характеристика института защиты персональных данных как комплексного института права. В отечественной юридической науке, по мнению диссертанта, нет убедительного обоснования места и роли института защиты персональных данных в системе права. Автор подверг критике существующие в правовой литературе попытки характеризовать данный институт, как моноотраслевой, входящий в состав отрасли информационного права, а также заявления отдельных ученых об отраслевой самостоятельности данного нормативного комплекса.

Проанализировав место и роль рассматриваемого института в системе российского права, а также позиции правоведов по этому вопросу, диссертант обосновал вывод о том, что данный нормативный комплекс представляет собой сложный правовой институт, так как специфика общественных от-

ношений, регулируемых им, а также отраслевая природа составляющих его юридических норм обусловливают межотраслевое (комплексное) регулирование данных отношений.

Этот институт образуют разнообразные по своей природе правовые нормы, регулирующие общественные отношения, связанные с защитой персональных данных физических лиц. В него входят нормы международного публичного и частного права, а также конституционного, административного, гражданского, уголовного, трудового, информационного и других отраслей национального права.

Несмотря на высокую динамику его развития, данный институт в настоящее время еще не приобрел признаков самостоятельной отрасли права. Поэтому существующие в юридической науке утверждения об отраслевой самостоятельности данного нормативного комплекса автору представляются ошибочными и лишенными объективных оснований.

В третьей главе «Формирование современных правоотношений, обеспечивающих защиту персональных данных человека» рассмотрены юридические коллизии в сфере защиты персональных данных и возможности их преодоления в юридической практике, определены пути и средства совершенствования законодательства по защите персональных данных в Российской Федерации.

В первом параграфе третьей главы рассмотрены правовые коллизии в сфере защиты персональных данных. В процессе решения этой задачи автор отметил:

1) несогласованность понятийного аппарата Федеральных законов «О персональных данных» № 152-ФЗ, «О внесении изменений в Федеральный закон «О персональных данных»» № 261-ФЗ, «Об информации, информационных технологиях и о защите информации» № 149-ФЗ с нормами федерального законодательства, регулирующего обработку персональных данных в различных сферах общественной жизни;

2) коллизионность норм, закрепленных в общих и специальных законах;

3) отсутствие правового режима конфиденциальности персональных данных (что с правовой точки зрения значительно усложняет проведение технической защиты информационных систем, обрабатывающих персональные данные);

4) противоречивость и неопределенность норм, устанавливающих ответственность за нарушение законодательства в сфере автоматизированной обработки персональных данных субъектов.

Анализ практики обработки, хранения и защиты персональных данных органами исполнительной власти Российской Федерации показал, что в настоящее время информационные системы, хранящие персональные данные, не приведены в соответствие с требованиями федерального законодательства. Причинами такого положения, помимо отмеченных выше дефектов нормативного регулирования, являются: различное толкование положений закона операторами персональных данных; наличие технико-юридических дефектов в изложении технологии решения этих коллизий в федеральных законах и подзаконных актах; нехватка квалифицированных специалистов в области защиты информации; отсутствие штатных сотрудников по информационной безопасности; отсутствие методических рекомендаций по защите персональных данных; недостаточное количество организаций-лицензиатов, имеющих право на данный вид деятельности (по защите информации); высокая стоимость технических мероприятий по защите таких информационных ресурсов; ограниченное финансирование из средств федерального бюджета мероприятий по технической защите соответствующей информации; неадекватное значимости задачи обеспечения безопасности персональных данных отношение руководителей подразделений к этой проблеме; сложный порядок получения лицензии ФСТЭК России на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации, получение Аттестата аккредитации органа по аттестации ФСТЭК России).

Во втором параграфе третьей главы определены пути и средства совершенствования законодательства по защите персональных данных. В процессе решения задач, поставленных в данном параграфе, диссертантом обоснован вывод о необходимости совершенствования существующей законодательной базы в части пересмотра принципов, методов и форм правового регулирования в сфере защиты персональных данных, а также предложена теоретическая конструкция механизма правового обеспечения безопасности персональных данных, который, по мнению автора, представляет собой совокупность форм и способов государственной деятельности в сфере охраны и защиты персональных данных, а также государственные гарантии прав, составляющих объект соответствующих правоотношений.

В целях совершенствования правового регулирования рассматриваемых отношений диссертантом сформулированы предложения по внесению изменений в законодательство, обеспечивающих защиту персональных данных (см. положение на защиту № 9).

Для полноценного обеспечения защиты персональных данных в современных условиях, наряду с правовыми и организационно-техническими мерами по обеспечению информационной безопасности в целом и защиты персональных данных в частности, должны быть реализованы такие меры не правового характера, как разработка программ обеспечения информационной безопасности и определение порядка их финансирования; совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических способов защиты информации, создание системы страхования информационных рисков физических и юридических лиц, подготовка квалифицированных кадров для работы в сфере защиты персональных данных.

Вместе с этим, по мнению диссертанта, необходимо повышать качество правоприменительной деятельности федеральных органов исполнительной власти, связанной с предупреждением и пресечением правонарушений в сфере защиты персональных данных, а также выявлением, изобличением и при-

влечением к ответственности лиц, совершивших преступления и другие правонарушения в этой сфере.

В заключении обобщены выводы автора, сделанные в отдельных параграфах и главах, а также изложены предложения, направленные на преодоление выявленных коллизий в правовом регулировании общественных отношений, связанных с защитой персональных данных, и повышение его эффективности в Российской Федерации.

Статьи, опубликованные в ведущих рецензируемых научных журналах и изданиях, рекомендованных ВАК Мипобрнауки России

1. Белгородцева Н.Г. Об особенностях правового регулирования в области защиты информации персонального характера // Современное право. -2011,-№2. -С. 76-77.

2. Белгородцева Н.Г. Об особенностях юридических конструкций в области защиты информации персонального характера И Право и образование. — 2011. — № 5. — С. 177-180.

Статьи, опубликованные в других изданиях

3. Белгородцева Н.Г., Булуева М.Б. Проблемы правового регулирования защиты персональных данных // Сборник научных трудов Международного юридического института: Выпуск 1. - М.: МЮИ, 2010. - С. 38^И.

4. Белгородцева Н.Г. О проблемах дефинирования юридических конструкций в области защиты информации персонального характера // Сборник научных трудов Международного юридического института: Выпуск 1. - М.: МЮИ, 2011.-С. 21-25.

ЛР ИД № 00009 от 25.08.99 г.

Подписано в печать 24.04.2012. Формат 60*90 l/i6-Бумага офсетная. Гарнитура Times New Roman Cyr. Усл. печ. л. 1,0. Тираж 100 экз. Заказ № 2573.

Отпечатано в редакционно-издательском отделе

Всероссийского заочного финансово-экономического института (ВЗФЭИ)

с оригинал-макета заказчика. Олеко Дундича, 23, Москва, Г-96, ГСП-5, 123995

ТЕКСТ ДИССЕРТАЦИИ
«Теоретико-правовые аспекты защиты персональных данных»

61 12-12/741

МЕЖДУНАРОДНЫЙ ЮРИДИЧЕСКИЙ ИНСТИТУТ

На правах рукописи

БЕЛГОРОДЦЕВА НАТАЛЬЯ ГЛЕБОВНА

Теоретико-правовые аспекты защиты персональных

данных

Специальность 12.00.01 - Теория и история права и государства; история

учений о праве и государстве

Диссертация

на соискание ученой степени кандидата юридических наук

Научный руководитель: доктор юридических наук, профессор

Е.А. Певцова

Москва 2012

Оглавление

Введение 3

Глава 1. Правовые отношения в сфере защиты персональных данных 26

1.1. Эволюция правоотношений в сфере защиты персональных

данных 26

1.2. Содержание правоотношений по защите персональных данных 37

1.3. Теоретико-правовой анализ субъектов правоотношений в сфере защиты персональных данных 66

1.4. Объекты защиты персональных данных 84

Глава 2. Правовое регулирование защиты персональных данных в современной России 88

2.1. Юридическая характеристика нормативных правовых актов, обеспечивающих защиту персональных данных 88

2.2. Институт защиты персональных данных как межотраслевой институт права 103

Глава 3. Формирование современных правоотношений, обеспечивающих защиту персональных данных человека 116

3.1. Юридические коллизии в сфере защиты персональных данных и

их преодоление в правоприменительной практике 116

3.2. Пути и средства совершенствования законодательства по защите персональных данных 128

Заключение 140

Библиографический список 144

Приложение 158

Введение Общая характеристика работы

Реализация данного закона началась существенно позже его принятия, так как его вступление в силу совпало по времени с проведением административной реформы и частым перезакреплением функций по защите прав субъектов персональных данных за разными органами исполнительной власти. Подзаконные акты Правительства Российской Федерации и отдельных ведомств появились также с опозданием. Таким образом, трудности, возникшие в процессе реализации законодательных норм в сфере защиты персональных данных, наиболее очевидно стали проявляться именно сейчас.

'Федеральный закон «О персональных данных» № 152-ФЗ от 27 июля 2006 г. (в ред. Федерального закона № 261-ФЗ от 25 июля 2011 г.) // Российская газета. - 2006. - 29 июля; 2011. - 28 июля.

всех массивов персональных данных на основе законодательного закрепления прав, обязанностей и ответственности держателей (обладателей) этих массивов.

Степень научной разработанности темы. Избранная тема в

юридической науке с позиции теории права является одной из малоизученных.

Правовые отношения, связанные со сбором, обработкой, хранением,

использованием и передачей персональных данных, которые возникают между разными субъектами в результате создания мощных компьютерных баз данных, еще не выступали самостоятельным объектом теоретико-правового исследования.

Отраслевые аспекты данной тематики затрагивались в отдельных работах отечественных правоведов - представителей конституционного, административного, информационного права и других отраслевых юридических наук. Исследованием смежных вопросов занимались В.М. Баранов, Н.Г. Беляева, В.Л. Гейхман, М.Ю. Емельянников, К.А. Занин, И.Я. Киселев, А.П. Курило, A.B. Кучеренко, М.А. Лапина, Е.А. Лукашева, A.M. Лушников, Л.Ф. Марин, В.Н. Монахов, Е.Л. Никитин, М.А. Осипова, A.C. Пиголкин, И.М. Рассолов, Д.С. Сентябов, Н. Свиридова, И.В. Смолькова, О.С. Соколова, А. Токаренко, A.C. Федосин, Д.С. Черешкин, Д.В. Черняев и др. В их работах освещены различные аспекты правового ре1улирования персональных данных. Однако вопросы теоретико-правового характера практически не изучались.

Между тем именно теоретико-правовое знание способно оказать существенную помощь законодателю в разработке юридических конструкций, позволяющих смоделировать будущий механизм реализации нормативных предписаний, направленных на урегулирование общественных отношений в сфере использования и защиты персональных данных, и тем самым оптимизировать правотворческую и правоприменительную деятельность государственных и муниципальных органов, а также минимизировать дефекты принимаемых нормативных правовых актов.

Предмет исследования составили юридические нормы (международно-

правовые, законодательства европейских государств и Российской Федерации),

обеспечивающие защиту персональных данных физических лиц; практика

реализации соответствующих положений федеральных законов органами исполнительной власти Российской Федерации, организациями и учреждениями, а также организационно-правовой механизм защиты этих данных в автоматизированных информационных системах.

Для достижения поставленной цели были решены следующие задачи:

■ изучить опыт международного сообщества и отдельных зарубежных стран в области правового обеспечения защиты персональных данных, выявить существующие тенденции в этой сфере и определить возможности использования их опыта в законотворческой практике и правоприменительной деятельности органов государственной власти Российской Федерации;

■ разработать универсальное понятие защиты персональных данных, пригодное как для научного исследования, так и правоприменительной практики;

■ раскрыть цель защиты персональных данных, а также содержание соответствующего субъективного права;

■ определить принципы, на которых должно осуществляться правовое регулирование защиты персональных данных;

■ выявить специфику правоотношений, связанных с защитой персональных данных;

Методологическая основа исследования. Методологическую основу исследования составили всеобщий диалектический метод познания и основанные на нем общие и частные научные методы исследования, позволяющие изучать явления окружающей действительности в их взаимосвязи, взаимозависимости и взаимообусловленности (системный метод, анализ, синтез, индукция, дедукция и др.). Активно применялись сравнительно-правовой, структурно-функциональный и формально-юридический методы, метод экстраполяции и др. Кроме того, в процессе работы над диссертацией

использовались социологические методы исследования, в частности метод экспертных оценок.

A.П. Курило, В.В. Лазарева, Е.А. Лукашевой, A.B. Малько, Н.И. Матузова, A.C. Пиголкина, М.Ю. Романовской, О.С. Соколовой, А. Токаренко, Ю. Травкина, E.H. Трубецкой, А.С Федосина, P.O. Халфиной, В.Н. Хропанюка, Д.С. Черешкина, М.Д. Шаргородского, Г.Ф. Шершеневича и др.

B.Н. Монахова, М.А. Осиповой, А. Санина, Д.С. Сентябова, А. Серкго, О. Слепова, И.В. Смольковой, А. Токаренко, Е. Царева, Д.В. Черняевой, Д. Шишулина и др.

Источниковедческую базу исследования составили международные правовые акты о правах человека в сфере защиты персональных данных, законы ряда европейских государств, обеспечивающие защиту персональных данных, Конституция Российской Федерации, федеральные законы, указы Президента Российской Федерации, постановления Правительства Российской Федерации и ведомственные приказы в области защиты информации.

Научная новизна диссертационного исследования. Настоящая работа

является одним из первых монографических научных исследований,

посвященных изучению общих закономерностей развития и функционирования института защиты персональных данных, в результате которого:

■ выявлены современные тенденции в правовом регулировании общественных отношений, связанных с защитой персональных данных в зарубежных странах и на уровне международного сообщества;

■ раскрыты предпосылки формирования института защиты персональных данных в Российской Федерации и его системообразующие элементы, определены роль и место данного института в системе российского права, обоснованы его комплексный характер и межотраслевое значение;

■ предложено авторское определение понятия защиты персональных данных;

■ на доктринальном уровне раскрыта специфика правоотношений, связанных с защитой персональных данных;

■ выявлены пробелы и коллизии в правовом урегулировании рассматриваемых общественных отношений;

На защиту выносятся следующие положения.

1. Анализ современной международной практики, а также опыта отдельных стран в сфере правового обеспечения защиты персональных данных позволяет констатировать наличие устойчивой тенденции к развитию универсализма в этой области, что выражается в формировании общих (наднациональных) подходов к правовому регулированию общественных отношений, связанных с защитой персональных данных, и международных стандартов их государственно-правовой защиты. Последние выступают правовым ориентиром в развитии российского законодательства, устанавливающего правовые механизмы защиты персональных данных, и его правоприменительной практике.

Признавая высокую динамику развития данного института, его

количественных и качественных характеристик, приходится констатировать,

что на современном этапе он еще не приобрел признаков самостоятельной

отрасли права, поэтому утверждения об отраслевой самостоятельности данного нормативного комплекса, существующие в юридической науке, представляются ошибочными и лишенными объективных оснований.

4. Институт защиты персональных данных является одной из юридических гарантий конституционных прав человека на неприкосновенность частной жизни, личную и семейную тайну, которые корреспондируют юридические обязанности других субъект�

Автор: Белгородцева, Наталья Глебовна
Город: Москва
Год: 2012
Звание: кандидата юридических наук
КОД ВАК: 12.00.01

Диссертация

Теоретико-правовые аспекты защиты персональных данных тема диссертации по юриспруденции

Автореферат

ПОХОЖИЕ РАБОТЫ

Теоретико-правовые аспекты защиты персональных данныхтекст автореферата и тема диссертации по праву и юриспруденции 12.00.01 ВАК РФ

АВТОРЕФЕРАТ ДИССЕРТАЦИИ по праву и юриспруденции на тему «Теоретико-правовые аспекты защиты персональных данных»

ТЕКСТ ДИССЕРТАЦИИ «Теоретико-правовые аспекты защиты персональных данных»

АВТОРЕФЕРАТ ДИССЕРТАЦИИ
по праву и юриспруденции на тему «Теоретико-правовые аспекты защиты персональных данных»

ТЕКСТ ДИССЕРТАЦИИ
«Теоретико-правовые аспекты защиты персональных данных»