ЗАКЛЮЧЕНИЕ Комитета по конституционному законодательству и государственному строительству от 21.11.2005"НА ПРОЕКТ ФЕДЕРАЛЬНОГО ЗАКОНА n 217352-4 "О ПЕРСОНАЛЬНЫХ ДАННЫХ"

ФЕДЕРАЛЬНОЕ СОБРАНИЕ РОССИЙСКОЙ ФЕДЕРАЦИИ
КОМИТЕТ ГОСУДАРСТВЕННОЙ ДУМЫ ПО КОНСТИТУЦИОННОМУ
ЗАКОНОДАТЕЛЬСТВУ И ГОСУДАРСТВЕННОМУ СТРОИТЕЛЬСТВУ
ЗАКЛЮЧЕНИЕ
от 21 ноября 2005 года
НА ПРОЕКТ ФЕДЕРАЛЬНОГО ЗАКОНА N 217352-4
"О ПЕРСОНАЛЬНЫХ ДАННЫХ"
Комитетом Государственной Думы по конституционному законодательству и государственному строительству рассмотрен проект Федерального закона N 217352-4 "О персональных данных", внесенный Правительством Российской Федерации.
Как указано в пояснительной записке, целью законопроекта является создание общих унифицированных требований к сбору и обработке (хранению, актуализации, использованию, раскрытию и предоставлению) персональных данных физических лиц во всех сферах, где используются персональные данные.
Названные требования должны основываться на положениях Конституции Российской Федерации, устанавливающих право на неприкосновенность частной жизни, личную и семейную тайну (статья 23, часть 1), запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия (статья 24, часть 1), обязанность органов государственной власти, органов местного самоуправления, их должностных лиц обеспечить каждому возможность ознакомления с докладами и материалами, непосредственно затрагивающими его права и свободы (статья 24, часть 2), право свободно искать, получать, передавать, производить и распространять информацию любым законным способом (статья 29, часть 4), а также возможность ограничения названных конституционных прав граждан в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства (статья 55, часть 3).
Реализация основополагающих принципов защиты персональных данных в законодательстве Российской Федерации прямо предусмотрена статьей 4 Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (проект Федерального закона N 217346-4 о ратификации указанной Конвенции также внесен Правительством Российской Федерации на рассмотрение Государственной Думы). При этом реализация указанных принципов должна быть осуществлена не позднее момента вступления Конвенции в силу в отношении Российской Федерации. Таким образом, принятие рассматриваемого законопроекта является необходимым условием исполнения предусмотренных указанной Конвенцией международных обязательств Российской Федерации.
В настоящее время в Российской Федерации сбор и обработку персональных данных осуществляет большое количество различных по своему правовому положению, характеру и объему полномочий субъектов, включая государственные органы, органы местного самоуправления, различные государственные и негосударственные организации, действующие на основании разрозненных и нередко не согласованных между собой положений законодательства Российской Федерации. При этом единые подходы к деятельности рассматриваемых субъектов по сбору и обработке персональных данных действующим законодательством не установлены. Отсутствует также единый специализированный правовой механизм защиты прав граждан при обработке персональных данных.
Нередки случаи дублирования полномочий государственных органов и органов местного самоуправления, сбора и обработки избыточных данных, не соответствующих полномочиям осуществляющих сбор и обработку персональных данных органов и организаций. Отсутствует централизованный контроль за деятельностью по сбору и обработке персональных данных.
В сложившейся ситуации существенно снижаются уровень защиты прав граждан при обработке их персональных данных, эффективность выполнения государственными органами и органами местного самоуправления возложенных на них задач и функций. Затрудняется доступ граждан к административным услугам, а сами граждане нередко принуждаются к выполнению избыточных процедур.
Широкое распространение получили случаи несанкционированного доступа к собранным различными государственными органами и иными организациями персональным данным, их незаконного копирования, распространения и использования. Можно говорить о сформировавшемся рынке полученных преступным путем информационных систем и баз, содержащих персональные данные.
В немалой степени сложившаяся ситуация обусловлена отсутствием единообразного правового регулирования по рассматриваемым вопросам. Принятие законопроекта, предусматривающего такое регулирование, позволит создать необходимую правовую основу для реализации конституционных прав граждан, защиты общественных и государственных интересов, обеспечения законных интересов лиц, использующих персональные данные в своей деятельности.
Таким образом, принятие законодательного акта, устанавливающего унифицированные правила сбора и обработки персональных данных физических лиц, а также правовые механизмы защиты прав граждан при сборе и обработке персональных данных, представляется актуальным и концептуально обоснованным.
Учитывая изложенное, концепция рассматриваемого законопроекта может быть поддержана. В то же время по содержанию конкретных норм законопроекта представляется необходимым высказать ряд замечаний и предложений принципиального характера.
В частности, нуждаются в уточнении основные понятия, используемые в законопроекте (статья 1).
Следует уточнить содержание понятия "субъект персональных данных" (пункт 2 статьи), указав, что данное понятие включает в себя граждан Российской Федерации, иностранных граждан и лиц без гражданства.
Содержание понятия "обработка персональных данных" (пункт 3) нуждается в унификации с пунктом "с" статьи 2 Конвенции. При этом нуждается в дополнительном обсуждении целесообразность включения в указанное понятие обработки персональных данных без использования средств автоматизации. Во всяком случае, действие рассматриваемого законопроекта вряд ли может распространяться на все персональные данные, обработанные без использования средств автоматизации.
Следует также уточнить перечень конкретных действий, охватываемых понятием "обработка персональных данных", включив в него, в частности, действия по поиску, передаче (раскрытию), использованию и распространению персональных данных. Необходимо также упорядочить использование в тексте законопроекта таких понятий, как сбор, обработка и использование персональных данных.
Нуждается в дополнительном обосновании использование в тексте законопроекта понятия "информационная система персональных данных" (пункт 4), поскольку указанное понятие включает в себя не только собственно совокупность собранных персональных данных, но и используемые при их обработке программные средства, в то время как в Конвенции используется понятие "автоматизированный файл", под которым понимается любой комплекс данных, подвергающихся автоматизированной обработке. В этой связи представляется уместным рассмотреть вопрос об использовании близкого по содержанию понятия "база персональных данных".
Требует уточнения содержание понятия "оператор" (пункт 5), поскольку в существующей редакции оно включает в себя несколько различных по своему статусу субъектов. При этом содержание полномочий оператора следует согласовать с полномочиями "контролера файла", предусмотренными пунктом "d" статьи 2 Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (далее - Конвенции).
Следует также уточнить соотношение понятий "оператор", "собственник информационной системы" и "оператор, которому обработка поручена собственником" (часть 2 статьи 6 законопроекта).
Кроме того, в пункте 5 статьи 1, а также в ряде других норм законопроекта (часть 2 статьи 4, пункт 6 части 2 статьи 9, часть 3 статьи 9, пункт 1 части 2 статьи 10 и т.д.) вместо понятия "орган государственной власти" следует использовать более общее понятие "государственный орган", включающее в себя и органы, не входящие в систему органов государственной власти (в частности Центральную избирательную Комиссию Российской Федерации, иные избирательные комиссии).
Нуждаются в более четком определении предмет правового регулирования и сфера действия рассматриваемого законопроекта. В частности, вряд ли обоснованно распространение действия законопроекта на все случаи обработки персональных данных без применения средств автоматизации. Подобное распространение действия законопроекта следует рассматривать, скорее, как исключение (в частности возможно распространение действия законопроекта на персональные данные, собранные государственными органами в целях реализации своих полномочий, на персональные данные, используемые в целях рекламы, маркетинга, политической и иной агитации).
В целом при определении сферы действия законопроекта представляется уместным в большей степени использовать положения статьи 3 Конвенции.
Пункт 1 части 2 статьи 3 законопроекта исключает из предмета его правового регулирования персональные данные, обрабатываемые для личных и семейных нужд. Данное положение нуждается в уточнении. В частности, следует уточнить содержание понятия "личные и семейные нужды". Кроме того, в целях предотвращения нарушений прав граждан на неприкосновенность частной жизни необходимо указать, что положения Федерального закона не применяются к персональным данным, обрабатываемым физическими лицами исключительно для личных и семейных нужд, лишь в случаях, если при этом не нарушаются права субъектов персональных данных.
Закрепленные в статье 5 законопроекта принципы сбора и обработки персональных данных принципиальных возражений не вызывают. Вместе с тем указанный перечень следует дополнить принципом достаточности персональных данных, а также более определенно сформулировать вытекающий из части 2 статьи 5 законопроекта запрет на объединение массивов персональных данных, собранных в принципиально разных целях.
В официальном тексте документа, видимо, допущена опечатка: имеется в виду часть 6 статьи 5 проекта Федерального закона N 217352-4 "О персональных данных", а не статья 6 части 5. Статья 6 части 5 законопроекта в существующей редакции, по сути, лишена собственного правового содержания, поскольку установленный законом порядок сбора и обработки персональных данных должен распространяться на все без исключения персональные данные, в том числе и биометрические. Вместе с тем, учитывая специфику биометрических персональных данных, а также возможность существенного ограничения и прямого нарушения прав граждан в результате их неправомерного использования, представляется, что в законопроекте необходимо установить ограничения на их использование. В частности, необходимо ограничить сферу использования таких данных.
В целом целесообразно рассмотреть вопрос о распространении на биометрические персональные данные правового режима, предусмотренного для особых категорий персональных данных.
Нуждается в уточнении перечень условий сбора и обработки персональных данных (статья 6 законопроекта). Представляется, что правомерной может быть обработка биометрических персональных данных при наличии письменного согласия субъекта персональных данных либо в случаях, когда, в соответствии с законом, такое согласие не требуется.
При этом в целях обеспечения защиты прав граждан, а также устранения неоправданных затруднений законного использования персональных данных было бы целесообразно закрепить презумпцию согласия гражданина на использование его персональных данных государственными органами при осуществлении своих полномочий. Распространение презумпции согласия возможно также на случаи, когда использование персональных данных в соответствии с законом является необходимым условием заключения договора, а также совершения иных юридически значимых действий.
В иных случаях, включая, в частности, использование персональных данных в маркетинговых и рекламных целях, для политической и иной агитации, а также трансграничную передачу персональных данных, может действовать презумпция несогласия. Норма, устанавливающая такие презумпции, может быть включена в часть 2 статьи 8 законопроекта.
Редакцию статьи 9 законопроекта, устанавливающей перечень особых категорий персональных данных, необходимо привести в соответствие со статьей 6 Конвенции. Необходимо унифицировать используемый в рассматриваемой норме понятийный аппарат (в частности следует исключить отсутствующее в Конвенции понятие "сексуальные наклонности"). Кроме того, необходимо согласовать положения статьи с нормами действующего законодательства, устанавливающими запрет требовать от граждан сообщать о своем участии в деятельности или о членстве в политических, религиозных и иных объединениях, профсоюзах.
При этом содержащийся в статье 6 Конвенции перечень особых категорий персональных данных не должен рассматриваться в качестве исчерпывающего (статья 11 Конвенции). Представляется, что законодатель вправе расширить его путем включения, в частности, биометрических персональных данных, данных о совершенных в отношении гражданина преступлениях, иных категорий персональных данных, требующих в существующих в Российской Федерации условий повышенной защиты.
В статье 11 законопроекта, устанавливающей принципы трансграничной передачи персональных данных, необходимо более четко определить условия такой передачи. В частности, представляется уместным отдельно сформулировать основные принципы, запреты и ограничения в отношении трансграничной передачи персональных данных. Так, целесообразно закрепить самостоятельный запрет на трансграничную передачу персональных данных без заранее определенной и объявленной законной цели.
Требуют дополнительного обсуждения также содержание понятий "явная угроза нарушения прав субъектов персональных данных", а также "понижение гарантий прав субъектов персональных данных". Представляется целесообразным более подробно определить содержание указанных понятий.
Пункт 2 части 6 статьи 12 законопроекта, устанавливающий ограничения права на доступ субъекта персональных данных к персональным данным о себе в отношении данных, обрабатываемых органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, необходимо согласовать с положениями части 4 статьи 46 и части 4 статьи 47 Уголовно-процессуального кодекса Российской Федерации, предусматривающими право, соответственно, подозреваемого и обвиняемого знакомиться с отдельными процессуальными документами и получать их копии.
Необходимо конкретизировать содержание предусмотренного статьей 13 законопроекта права субъекта персональных данных высказывать возражение против обработки своих персональных данных, если они используются оператором в целях политической агитации, рекламных или иных аналогичных целях. В частности, обязанность оператора незамедлительно прекратить обработку персональных данных при получении возражения необходимо подкрепить нормой об ответственности оператора в случае продолжения незаконного использования персональных данных.
В части 3 статьи 13 необходимо предусмотреть не право субъекта персональных данных высказать возражение против обработки персональных данных, "если какое-либо решение, имеющее существенные последствия для такого субъекта персональных данных, может быть принято исключительно на основе персональных данных, явившихся результатом их автоматизированной обработки", а общий запрет на "автоматическое" принятие решений, затрагивающих права и свободы граждан.
Требует тщательного дополнительного обсуждения возможность и целесообразность введения регистрации информационных систем персональных данных (статья 16), а также перечень информационных систем, подлежащих регистрации. При решении указанных вопросов необходимо исходить из приоритета защиты прав граждан, охраняемых законом интересов общества и государства, а также из недопустимости создания избыточных административных барьеров при осуществлении законной деятельности операторов.
Следует также учитывать крайне незначительную численность создаваемого органа по защите персональных данных (в финансово-экономическом обосновании указывается численность штата центрального аппарата федерального органа исполнительной власти в 50 человек) и значительное количество существующих в Российской Федерации баз персональных данных.
При этом также нельзя согласиться с предложением о наделении Правительства Российской Федерации правом устанавливать "дополнительные случаи, при которых не требуется регистрации информационных систем персональных данных". Представляется, что все случаи регистрации информационных систем, а также порядок такой регистрации требуют законодательного регулирования.
Нуждается в уточнении статья 21 законопроекта, устанавливающая основы правового положения уполномоченного органа по защите прав субъектов персональных данных.
Рассматриваемая статья не дает достаточного представления о статусе такого органа, однако из сопроводительных документов к законопроекту следует, что речь идет о федеральном органе исполнительной власти. При этом возможная организационно-правовая форма такого органа не ясна, поскольку закрепленные за ним функции характерны и для федеральных служб (статья 21 законопроекта), и для федеральных министерств (часть 2 статьи 17 законопроекта). Не ясно также, каким образом уполномоченный орган будет осуществлять свою деятельность на региональном уровне.
В этой связи представляется целесообразным более точно определить статус и структуру уполномоченного органа.
При этом, поскольку основное содержание деятельности уполномоченного органа составляет защита конституционных прав граждан, с учетом статьи 80 (часть 2) Конституции Российской Федерации целесообразно рассмотреть вопрос о закреплении полномочий по созданию такого органа, определению его компетенции, а также осуществлению общего руководства его деятельностью за Президентом Российской Федерации.
Следует также отметить, что подчинение уполномоченного органа Президенту Российской Федерации способно обеспечить более полную реализацию требований о независимости данного органа, предусмотренных статьей 1 Дополнительного протокола к Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. Целям обеспечения независимости уполномоченного органа могло бы служить установление особого порядка формирования органа, а также установление правовых гарантий для его сотрудников.
Эффективным средством защиты прав граждан при обработке их персональных данных могло бы стать возложение функций в указанной сфере на Уполномоченного по правам человека в Российской Федерации.
Кроме того, в целях повышения гарантий соблюдения прав граждан при автоматизированной обработке персональных данных представляется необходимым рассмотреть вопрос о создании наряду с государственным контролем правовых механизмов общественного контроля в рассматриваемой сфере. Такой контроль может включать в себя, в частности, проведение общественной экспертизы проектов нормативных правовых актов, затрагивающих вопросы обработки и использования персональных данных, их предварительное обсуждение с участием представителей общественных объединений и религиозных организаций.
Такой контроль может быть осуществлен в рамках функционирования Общественной палаты.
Целесообразно также рассмотреть вопрос о возможности привлечения к участию в деятельности уполномоченного органа представителей общественности.
Статья 23 законопроекта предусматривает присвоение федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации и органами местного самоуправления при реализации своих полномочий уникальных и постоянных для каждого лица идентификаторов персональных данных.
Данное положение нуждается в существенной корректировке с учетом следующих принципиальных соображений.
К числу важнейших принципов защиты прав граждан при автоматизированной обработке их персональных данных относятся отраженные в законопроекте принципы соответствия объема обрабатываемых данных и целей обработки функциям и полномочиям оператора, а также запрет на объединение персональных данных, собранных в принципиально различных целях (статья 5 законопроекта).
Отступление от указанных принципов создает условия для необоснованного ограничения и прямого нарушения прав граждан. В частности, введение универсального идентификатора персональных данных, соотносимого с любыми персональными данными конкретного лица вне зависимости от того, каким оператором и в каких целях такие данные обрабатываются, позволяет осуществить доступ к его персональным данным в полном объеме любому лицу, имеющему доступ к идентификатору персональных данных, что противоречит статьям 23 (частям 1 и 2), 24 (части 1), 55 (частям 2 и 3) Конституции Российской Федерации.
В этой связи представляется, что идентификаторы персональных данных не могут носить универсального характера. Использование идентификаторов возможно лишь в отдельных сферах деятельности (например, специализированные идентификаторы могут вводиться в целях налогового учета, воинского учета, паспортного контроля, учета избирателей).
Практика введения и использования идентификаторов в различных сферах (в частности в сфере налогового учета) показала, что присвоение идентификаторов гражданам, то есть соотнесение их с конкретной личностью, вызывает негативную реакцию в обществе, способствует росту социальной напряженности. Неприятие частью общества вызвали и требования об обязательном получении и использовании таких идентификаторов гражданами. Поступившие в Комитет многочисленные обращения граждан также свидетельствуют о распространенном негативном отношении к присвоению гражданам каких-либо цифровых и иных идентификаторов.
Представляется, что снижению социальной напряженности могло бы способствовать введение порядка, при котором идентификатор персональных данных закрепляется не за гражданином, а за совокупностью относящихся к нему персональных данных, обрабатываемых и используемых в конкретной сфере деятельности.
При этом на граждан не должны возлагаться обязанности по совершению каких-либо действий в целях получения идентификатора персональных данных, а также по использованию такого идентификатора при обращении в государственные органы и органы местного самоуправления. Объем прав и свобод человека и гражданина, а также объем получаемых им административных услуг не должен ставиться в зависимость от использования идентификатора персональных данных.
Необходимо также законодательно закрепить запрет на использование при формировании идентификаторов персональных данных символики, оскорбляющей чувства граждан. Кроме того, следует рассмотреть вопрос о возможности создания альтернативных механизмов учета персональных данных граждан.
Вызывает принципиальные возражения статья 24 законопроекта, предусматривающая создание государственного регистра населения Российской Федерации, в который включаются идентификаторы персональных данных всех физических лиц, постоянно или временно проживающих или пребывающих на территории Российской Федерации.
Создание подобного регистра, так же как и введение универсального идентификатора персональных данных, порождает возможность доступа к персональным данным граждан в объеме, превышающем полномочия конкретного оператора.
Кроме того, при существующем в Российской Федерации уровне защиты конфиденциальных сведений существование подобного регистра создает прямую угрозу несанкционированного доступа к персональным данным, относящимся ко всем сферам жизни и деятельности гражданина, разглашения таких данных и их противоправного использования.
Следует также отметить, что в качестве цели создания рассматриваемого регистра определено обеспечение непротиворечивости данных, находящихся в информационных системах органов государственной власти и органов местного самоуправления (часть 1 статьи 24 законопроекта). Однако Конституция Российской Федерации не предусматривает подобного основания для столь существенного ограничения прав граждан.
Таким образом, предлагаемая концепция государственного регистра населения представляется создающей условия для необоснованного ограничения и прямого нарушения прав граждан, что противоречит целому ряду положений Конституции Российской Федерации (статья 23, части 1 и 2; статья 24, часть 1; статья 55, части 2 и 3).
Учитывая изложенное, статью 24 из законопроекта следует исключить.
В статье 25 законопроекта необходимо более четко сформулировать общие условия наступления юридической ответственности за нарушение установленных требований персональных данных. В частности, необходимо предусмотреть возможность наступления ответственности оператора за любой вред, причиненный такими действиями (часть 2 статьи 25). Кроме того, следует установить основания наступления ответственности должностных лиц и иных работников организации-оператора, а также третьих лиц.
При этом предлагаемые нормы должны быть подкреплены внесением соответствующих дополнений в проект Федерального закона N 217355-4 "О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" и Федерального закона "О персональных данных".
Статью 26 законопроекта необходимо дополнить переходными положениями, устанавливающими правовой режим персональных данных, собранных до вступления в силу данного Федерального закона. В частности, необходимо установить требования о приведении существующих баз персональных данных в соответствие с законом, включая регистрацию таких баз данных, уничтожение излишней информации, информации, несоразмерной и не соответствующей целям сбора и обработки персональных данных либо выходящей за пределы полномочий осуществляющего обработку органа, распространение на существующие базы данных запрета на объединение персональных данных, собранных в принципиально различных целях.
Текст законопроекта в целом нуждается в тщательной редакционной и юридико-технической доработке.
Комитет по конституционному законодательству и государственному строительству рекомендует Государственной Думе принять рассматриваемый законопроект в первом чтении с учетом высказанных замечаний и предложений.
Председатель Комитета
В.Н.ПЛИГИН