Кафедра информационного права и информатики

Тема 5. Обработка персональных данных в сети Интернет.

 

 

1. Особенности правового режима персональных данных и их защиты в Интернете.

 

Отношения в сети Интернет всегда представляли и еще долго будут представлять проблему для законодателя. Сложность правового регулирования данных отношений определяется особенностью общественных отношений, складывающихся в виртуальной среде.

В первую очередь это определяется трансграничностью сети и невозможностью зачастую привязать события в сети Интернет к определенным географическим границам. Пользователь может легко оказаться на сайте, расположенном в другом городе, государстве или на другом континенте. Более того, как правило, пользователи даже и не имеют представления о том, где расположен тот или иной сайт. Такая возможность порождает множество правовых проблем: защиты личной информации о пользователе, защиты интеллектуальной собственности, регулирования содержания предоставляемой информационным посредником пользователю информации. Архитектура сети Интернет, а именно ее децентрализованный характер, выражающийся в отсутствии единого центра, контролирующего все информационные процессы, происходящие в Интернете, является одной из основных причин невозможности их эффективного унифицированного правового регулирования.

Законодатель сталкивается с проблемой идентификации пользователей сети Интернет. Сам по себе IP-адрес, которым обладает каждое из устройств, подсоединенных к сети Интернет, позволяет лишь идентифицировать в сети Интернет такое устройство, но не позволяет произвести идентификацию лица, которое его использует.

Особая роль интернет-провайдеров в осуществлении процессов информационного обмена в сети Интернет, а также зависимость пользователей от их деятельности не могут не влиять на правовые аспекты регулирования отношений в сети Интернет. Недаром интернет-провайдеров нередко обозначают как "хранителей врат" Интернета (Internet "gatekeepers"), в связи с чем они становятся основным проводником политики государства в отношении Интернетаhttps://studme.org/78431/pravo/pravovye_problemy_obespecheniya_informatsionnoy_bezopasnosti_seti_internet - gads_btm.

В России с 2010 г. идет процесс развития единой системы идентификации и аутентификации (ЕСИА) — информационной системы, обеспечивающей санкционированный доступ участников информационного взаимодействия (граждан-заявителей и должностных лиц органов исполнительной власти) к информации, содержащейся в государственных информационных системах и иных информационных системах.

В рамках инфраструктуры электронного правительства задача создания и развития федеральной государственной информационной системы "Единой системы идентификации и аутентификации" (ФГИС ЕСИЛ) возложена на Минкомсвязь России. Цель ЕСИА — упорядочить и централизовать процессы регистрации, идентификации, аутентификации и авторизации пользователей.

Положение о федеральной государственной информационной системе "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме" утверждено приказом Минкомсвязи России от 13.04.2012 № 107.

Созданная Минкомсвязыо России ФГИС ЕСИА предоставляет информационным системам органов государственной власти решение по достоверной идентификации пользователей (физических и юридических лиц, органов государственной власти). Достоверность достигается за счет того, что:

— регистрация лица в ЕСИА сопряжена с проверкой значимых для удостоверения личности критериев;

— ЕСИА обеспечивает защиту размещенной в ней информации в соответствии с законодательством РФ.

Система ориентирована на пользователя и предоставляет возможности:

— идентификации и аутентификации с использованием единой учетной записи и широкого спектра поддерживаемых методов аутентификации при доступе к различным информационным системам органов государственной власти;

— управления своими персональными данными, размещенными в ЕСИА, и контроля над их предоставлением в информационные системы органов государственной власти.

Основные функциональные возможности ЕСИА:

— идентификация и аутентификация пользователей, в том числе:

— однократная аутентификация, которая дает пользователям ЕСИА следующее преимущество: пройдя процедуру идентификации и аутентификации в ЕСИА, пользователь может в течение одного сеанса работы обращаться к любым информационным системам, использующим ЕСИА, при этом повторная идентификация и аутентификация не требуется;

— поддержка различных методов аутентификации: по паролю, по электронной подписи, а также двухфакторная аутентификация (по постоянному паролю и одноразовому паролю, высылаемому в виде sms-сообщения);

— поддержка уровней достоверности идентификации пользователя (упрощенная учетная запись, стандартная учетная запись, подтвержденная учетная запись).

— ведение идентификационных данных, а именно — ведение регистров физических, юридических лиц, органов и организаций, должностных лиц органов и организаций и информационных систем;

— авторизация уполномоченных лиц органов государственной власти при доступе к следующим функциям ЕСИА:

— ведение регистра должностных лиц органов власти в ЕСИА;

— ведение справочника полномочий в отношении информационной системы и предоставление пользователям ЕСИА (зарегистрированным в ЕСИА как должностные лица) полномочий по доступу к ресурсам систем, зарегистрированным в ЕСИА;

— делегирование вышеуказанных полномочий уполномоченным лицам нижестоящих органов государственной власти;

— ведение и предоставление информации о полномочиях пользователей в отношении информационных систем, зарегистрированных в ЕСИА.

 

Важной особенностью дальнейшей разработки и построения механизмов идентификации должен являться учет особенностей существующих стандартов и протоколов обмена и хранения информации. При этом должно допускаться создание механизмов, когда идентификация проводится не непосредственно участниками отношений в момент их возникновения или развития, а только при определенных обстоятельствах при обращении за информацией к другим субъектам, не участвовавшим в них, но обеспечивающим функционирование инфраструктуры — аппаратно-программных решений, за счет использования функционала которых передастся и хранится информация (операторов связи, информационных посредников, организаторов распространения информации)[1].

Очевидно, что в современном информационном обществе очень сложно сохранить свою частную жизнь действительно приватной. Особенно это связано с появлением информационно-телекоммуникационных сетей, где информация не только быстро распространяется, но и может храниться неограниченное время.

Важнейшая проблема связана с переводом в электронный вид оказания государственных услуг и осуществления государственных функций. Сегодня государственные органы, однажды получившие согласие гражданина, имеют право передавать его данные между собой неопределенно долго с минимальными ограничениями, не уведомляя владельцев. Это может создавать риск нецелевого использования этих данных. Поэтому многими специалистами предлагается ограничить право госорганов обрабатывать персональные данные без согласия субъекта только целями предоставления конкретной услуги.

В мае 2013 г. был принят целый пакет изменений в 14 законодательных актов, среди которых Федеральный закон "О персональных данных", ТК РФ, ГПК РФ, законодательство о прокуратуре, о пенсионных фондах, о государственной социальной помощи. Эти изменения направлены на более эффективное обеспечение конфиденциальности и защиты персональных данных. Цель этих изменений — привести федеральный закон в соответствие с требованиями времени: учитывать особенности социальных сетей, аспекты, связанные с оказания услуг в электронном виде, использование "облачных" сервисов.

Так, существующая проблема трансграничной передачи персональных данных получила только частичное решение. Согласно закону до начала осуществления трансграничной передачи персональных данных оператор, осуществляющий обработку персональных данных на территории РФ, обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.

Критериев, определяющих адекватность защиты прав субъектов персональных данных на территории иностранного государства, в законе не предусмотрено. Оператору, осуществляющему трансграничную передачу персональных данных, необходимо руководствоваться законодательством иностранного государства, на территорию которого осуществляется передача персональных данных, законодательством РФ в области защиты прав субъектов персональных данных, а также международными нормативными актами, в том числе Конвенцией о защите прав физических лиц при автоматизированной обработке персональных данных 1981 г. с учетом перечня стран, подписавших и ратифицировавших данную Конвенцию.

В случае, если государство не присоединилось к Конвенции, для оценки адекватности защиты прав субъектов персональных данных на территории другого государства оператору, осуществляющему трансграничную передачу персональных данных, необходимо самостоятельно убедиться: что государство имеет свои национальные законы по защите прав субъектов персональных данных и есть механизм правовой защиты этих прав; что зарубежный контрагент знает об этих законах и применяет их на практике; что существуют государственные технические регламенты или стандарты по защите информации в целом и персональных данных в частности и субъект, которому осуществляется передача персональных данных, применяет их. Большинству операторов персональных данных, не являющимися крупными компаниями, осуществить указанный перечень действий самостоятельно невозможно. Поэтому Роскомнадзор взял на себя решение этой проблемы. Так, приказом Роскомнадзора от 15.03.2013 № 274 утвержден перечень государств, обеспечивающих адекватную защиту прав субъектов персональных данных, в который вошли 17 стран.

Сегодня проблемы трансграничной передачи персональных данных тесно связаны с проблемами обработки персональных данных в "облаках". "Облачные" сервисы предполагают расположение серверов, реализующих "облачные" вычисления, в разных странах. Если информация попадает в "облако" какого-нибудь крупного оператора, то в большинстве случаев невозможно сказать, на территории какой страны будет храниться та или иная информация. И более того, как предупреждает Эдвард Сноуден, как только данные попадают в "облако", сразу же это становится доступно третьим лицам в лице спецслужб.

В июле 2014 г. принят Федеральный закон от 21.07.2014 № 242-ФЗ, который устанавливает требование к операторам персональных данных хранить персональные данные российских граждан на территории РФ. Так, согласно ст. 15.5 Закона об информации в целях ограничения доступа к информации в сети Интернет, обрабатываемой с нарушением законодательства РФ в области персональных данных, создастся автоматизированная информационная система "Реестр нарушителей прав субъектов персональных данных". В реестр нарушителей включаются:

1) доменные имена и (или) указатели страниц сайтов в сети Интернет, содержащих информацию, обрабатываемую с нарушением законодательства РФ в области персональных данных;

2) сетевые адреса, позволяющие идентифицировать сайты в сети Интернет, содержащие информацию, обрабатываемую с нарушением законодательства РФ в области персональных данных;

3) указание на вступивший в законную силу судебный акт;

4) информация об устранении нарушения законодательства РФ в области персональных данных;

5) дата направления операторам связи данных об информационном ресурсе для ограничения доступа к этому ресурсу.

Создание, формирование и ведение реестра нарушителей осуществляет Роскомнадзор. Основанием для включения в реестр нарушителей информации является вступивший в законную силу судебный акт.

Указанные поправки в законодательство вступили в силу с 1 сентября 2015 г. С принятием Федерального закона от 21.07.2014 № 242-ФЗ возникло много вопросов с его реализацией: возможна ли параллельная обработка персональных данных россиян за рубежом при условии согласия субъектов; должны ли новые требования применяться к данным, собранным до 1 сентября 2015 г. и др. Поэтому операторы персональных данных ждут разъяснений и подзаконных актов Правительства РФ и Роскомнадзора.

 

2. Права и обязанности владельца сайта в качестве оператора персональных данных пользователей социальной сети.

 

Окинавская хартия глобального информационного общества 2000 г., ставя вопрос о необходимости преодоления цифрового неравенства, одной из проблем, которая должна быть решена государствами, называет доступ к информационной инфраструктуре, причем инфраструктуре, поддерживаемой иными лицами, не владельцами информационных ресурсов. Особенно это касается отношений в сети Интернет, которые складываются при обязательном участии таких информационных посредников, как оператор связи, провайдеры доступа и хостинга. Эти субъекты предоставляющие пользователям свое оборудование и технологии для хранения информации, организующие и обеспечивающие процессы обмена информацией, получили сегодня название информационного посредника.

Понятие "информационный посредник" включает в себя целый ряд лиц, которые являются промежуточным звеном между обладателем информации и пользователем. Действия информационных посредников, их права и обязанности фактически являются условием реализации прав и обязанностей основных участников правоотношения. Естественно, что при возникновении спорных ситуаций встает вопрос об их причастности к совершению противозаконных действий и степени их ответственности. Правовая неопределенность в вопросе ответственности информационных посредников неизбежно станет одним из препятствий на пути развитии информационной и телекоммуникационной инфраструктуры и на обеспечении гарантированного свободного доступа граждан к информации. Перечень прав и обязанностей информационного посредника должен корреспондировать правам и обязанностям основных участников правоотношения.

Именно поэтому правовой статус информационных посредников в настоящее время активно обсуждается широкой общественностью и уже находит свое отражение в российском законодательстве.

Один из базовых принципов регулирования деятельности информационных посредников, который отстаивает ООН, заключается в обеспечении прав информационных посредников, поскольку ответственность за незаконный контент должны нести только его создатели и непосредственные распространители.

Базовые условия ограничения ответственности интернет-провайдеров закреплены на общеевропейском уровне в Директиве Европейского совета № 2000/31/ЕС о некоторых правовых аспектах услуг информационного общества, в частности электронной коммерции, на внутреннем рынке (Директива по электронной коммерции). К информационным посредникам Директива относит телекоммуникационные компании как провайдеров доступа к Интернету, а также хостинг-провайдеров, поисковые системы и прочие виды компаний, занимающихся интернет-бизнесом. Специальная норма ст. 15 Директивы устанавливает, что на провайдеров не может быть возложена общая обязанность по мониторингу информации. В то же время в п. 47 преамбулы Директивы дается разъяснение, что к провайдеру услуг информационного общества могут предъявляться специальные требования по мониторингу. Таким образом, хотя Директива и не устанавливает обязанность по мониторингу, она оставляет за государствами — членами Европейского Союза право самостоятельно устанавливать специальные, конкретизированные требования по мониторингу информации.

В ст. 17 Закона об информации установлено, что в случае, если распространение определенной информации ограничивается или запрещается федеральными законами, гражданско-правовую ответственность за распространение такой информации не несет лицо, оказывающее услуги:

1) либо по передаче информации, предоставленной другим лицом, при условии се передачи без изменений и исправлений;

2) либо по хранению информации и обеспечению доступа к ней при условии, что это лицо не могло знать о незаконности распространения информации.

Провайдер хостинга и владелец сайта в сети Интернет не несут ответственность перед правообладателем и перед пользователем за ограничение доступа к информации и (или) ограничение ее распространения в соответствии с требованиями законодательства.

Развивая гражданско-правовой статус информационных посредников, ст. 1253.1 ГК РФ вводит понятие информационного посредника как лицо, которое выполняет хотя бы одну из перечисленных услуг:

— осуществляет передачу материала в информационно-телекоммуникационной сети, в том числе в сети Интернет;

— предоставляет возможность размещения материала или информации, необходимой для его получения с использованием информационно-телекоммуникационной сети; 

— предоставляет возможность доступа к материалу в этой сети.

Здесь же установлены особенности гражданско-правовой ответственности информационного посредника. Информационный посредник несет ответственность за нарушение интеллектуальных нрав в информационно-телекоммуникационной сети на общих основаниях при наличии вины с учетом следующих особенностей.

Информационный посредник, осуществляющий передачу материала в информационно-телекоммуникационной сети, не несет ответственность за нарушение интеллектуальных прав, произошедшее в результате этой передачи, при одновременном соблюдении следующих условий:

1) он не является инициатором этой передачи и не определяет получателя указанного материала;

2) он не изменяет указанный материал при оказании услуг связи, за исключением изменений, осуществляемых для обеспечения технологического процесса передачи материала;

3) он не знал и не должен был знать о том, что использование соответствующих результата интеллектуальной деятельности или средства индивидуализации лицом, инициировавшим передачу материала, содержащего соответствующие результат интеллектуальной деятельности или средство индивидуализации, является неправомерным.

Информационный посредник, предоставляющий возможность размещения материала в информационно-телекоммуникационной сети, не несет ответственность за нарушение интеллектуальных прав, произошедшее в результате размещения в информационно-телекоммуникационной сети материала третьим лицом или по его указанию, при одновременном соблюдении информационным посредником следующих условий:

1) он не знал и не должен был знать о том, что использование соответствующих результата интеллектуальной деятельности или средства индивидуализации, содержащихся в таком материале, является неправомерным;

2) он в случае получения в письменной форме заявления правообладателя о нарушении интеллектуальных прав с указанием страницы сайта и (или) сетевого адреса в сети Интернет, на которых размещен такой материал, своевременно принял необходимые и достаточные меры для прекращения нарушения интеллектуальных прав. Перечень необходимых и достаточных мер и порядок их осуществления могут быть установлены законом.

К информационному посреднику могут быть предъявлены требования о защите интеллектуальных прав, не связанные с применением мер гражданско-правовой ответственности, в том числе об удалении информации, нарушающей исключительные права, или об ограничении доступа к ней.

Данные правила применяются в отношении лиц, предоставляющих возможность доступа к материалу или информации, необходимой для его получения с использованием информационно-телекоммуникационной сети.

Порядок ограничения доступа к информации, распространяемой с нарушением авторских и (или) смежных прав установлен в ст. 15.2 Закона.

Последние поправки в Закон вводят новых субъектов информационных отношений в сети Интернет. Так, указанный Закон определяет организатора распространения информации в сети Интернет как лицо, осуществляющее деятельность по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети Интернет.

Вместе с тем отдельные подзаконные акты к указанному Закону, в частности постановление Правительства РФ от 31.07.2014 № 759, утвердившее правила хранения данных, использует термин "коммуникационный интернет-сервис", под которым понимает информационную систему и (или) программа для электронных вычислительных машин, которая предназначена и (или) используется для приема, передачи и (или) обработки электронных сообщений пользователей сети Интернет в целях обмена электронными сообщениями между пользователями сети Интернет, в том числе для передачи электронных сообщений неопределенному кругу лиц. Данное постановление прямо предусматривает, что обязанности по обеспечению хранения данных возникают у организатора именно в связи с функционированием коммуникационного интернет-сервиса, что является определенным сужением понятия организатора распространения информации по сравнению с тем, как оно определено в законе. По сути это означает, что в качестве организатора должно пониматься только лицо, которое обеспечивает функционирование коммуникационного интернет-сервиса, т.е. что из этой категории выводятся, в частности, производители аппаратного и программного обеспечения, которое может быть использовано в качестве компонента при построении коммуникационного интернет-сервиса. Поисковые сервисы также вряд ли могут быть отнесены к категории коммуникационных, поскольку здесь взаимодействие осуществляется не между пользователями, а между пользователем и машиной (аппаратно-программным комплексом). Наконец, сайты в сети Интернет, которые не предусматривают возможность пользователей общаться между собой, также вряд ли можно отнести к категории коммуникационных интернет-сервисов.

Рассмотренные пробелы правового статуса информационных посредников делают все информационное правоотношение в сети неустойчивым, так как формально гарантированные законом права основных участников правоотношения могут фактически оказаться неосуществимыми в связи с неурегулированностью статуса информационных посредников.

Сайт создан по технологии «Конструктор сайтов e-Publish»