§ 1. Понятие персональных данных

Бурное развитие компьютерных и телекоммуникационных технологий привело к формированию принципиально новых факторов, таящих угрозу для права граждан на невмешательство в частную жизнь:

1) возможность хранить и обрабатывать информацию, используемую для управления государством и бизнесом, не в обезличенной, а в персонифицированной форме;

2) скрытный (в восприятии человека) характер накопления, хранения, обработки и передачи информации в компьютерах;

3) появление особо опасных информационных объектов со сверхвысокой концентрацией персонифицированной информации (базы и банки данных, пространственно-распределенные информационные системы).

В странах, находящихся на этапе компьютерного информационного общества или в фазе перехода к такому обществу, основным объектом посягательств на сферу частной жизни стала персонифицированная информация, обрабатываемая автоматизированными электронными средствами (компьютерными и телекоммуникационно-компьютерными информационными системами). Такую информацию

7

стали называть "персональными данными". Термином "машинные данные" или просто "данные" в большинстве стран обозначают информацию, полученную в результате обработки на ЭВМ или подготовленную в специальной форме для такой обработки. Причины же специального выделения категории "персональные данные" из общего понятия "данные" связаны с тем, что такие данные являются потенциально уязвимыми атрибутами сферы частной жизни человека.

Довольно быстро было обнаружено, что персонифицированную информацию в компьютерах можно условно разделить на две категории:

(1) "нейтральные" персонифицированные данные, к раскрытию и распространению которых субъект данных относится индифферентно;

(2) "чувствительные" персонифицированные данные, циркуляцию которых субъект данных стремится ограничить. Именно эта категория получила название "персональные данные" и была квалифицирована как информация, несанкционированный доступ или ненадлежащее использование которой приводит к посягательствам на права частной жизни субъекта данных.

Таким образом, персональные данные определяются по критерию "чувствительности".

Так как понятие "чувствительность" персональной информации достаточно субъективно и зависит от восприятия субъекта данных, то на базе многих прецедентов в гражданском судопроизводстве стран общего права был выработан следующий принцип: публикация некоего факта частной жизни (персональных данных) признавалась посягательством на сферу частной жизни, если было доказано, "что публикация этого факта была высоко предосудительной с точки зрения любого благоразумного человека, наделенного обычной чувствительностью"1. Смысл этого судебного критерия в том, "что закон не предназначен для защиты сверхчувствительных людей, поскольку каждый человек должен до некого обоснованного предела открывать свою жизнь для пристального внимания общества"2.

8

С точки зрения критерия "чувствительности", определение оксфордского правоведа Раймонда Уэкса представляется многим исследователям каноническим:

"Персональная информация" могла бы определяться как те факты, сообщения или мнения, которые связаны с данным индивидом и относительно которых можно было бы ожидать, что он считает их интимными или конфиденциальными и, следовательно, желает остановить или, по крайней мере, ограничить их циркуляцию"1.

В национальных законах о защите данных в определении понятия "персональные данные" не применяется критерии "чувствительность", но он используется при делении персональных данных на "обычные" и "чувствительные" (или "особо чувствительные") в других статьях этих же законов. Это связано с большим разнообразием персональных данных, используемых в компьютерных информационных системах, с одной стороны, и относительной субъективностью критерия "чувствительности", с другой. В самих же определениях понятия "персональные данные" используется, как правило, другой критерий - критерий "идентифицируемости субъекта данных" на основании этих данных.

Классический пример использования этого критерия дает определение из Австрийского закона 1978 г. о защите данных:

"Данные - информация, хранимая на носителе данных и имеющая отношение к некому идентифицированному или имеющему высокую вероятность идентификации субъекту данных (персональные данные)"2.

Датские законодательные акты 1979 г. о регистрах публичных органов власти и о частных регистрах определяют понятие "персональные данные" следующим образом:

"Для целей настоящего законодательного акта термин "персональные данные" должен пониматься как обозначение данных, которые могут быть отнесены к идентифицируемым индивидуумам, даже если такое отнесение предполагает знание персонального

9

регистрационного номера или любых подобных специальных средств идентификации такого индивидуума"1.

Значительно более сложным и интересным является британское определение персональных данных. Законодательный акт 1984 г. о защите данных вводит в определение дополнительные категории - "мнение" и "намерение":

"Ст. 1(3). Термин "персональные данные" означает данные, состоящие из информации, связанной с неким живым индивидом, который может быть идентифицирован на основании этой информации (или с помощью этой и иной информации, находящейся в распоряжении пользователя данных), включая любое выражение мнения о данном лице, но без какого-либо указания о намерениях пользователя данных в отношении этого лица"2.

Таким образом, любое выражение мнения об индивиде (субъекте данных) включается в состав персональных данных, тогда как любое указание на намерения пользователя данных в отношении субъекта данных однозначно исключается из категории "персональные данные" (необходимо подчеркнуть, что намерения третьей стороны, поскольку они в явной и недвусмысленной форме не исключены законом, включаются в состав персональных данных).

Другой важной особенностью британского определения является оговорка: "...или с помощью этой и иной информации, находящейся в распоряжении пользователя данных". Поскольку Великобритания разрабатывала свой закон о защите персональных данных почти на десятилетие позже других стран-участниц Конвенции 108 Совета Европы, то легислатура Соединенного Королевства имела возможность учесть опыт применения аналогичных зарубежных законов. Приведенная выше оговорка призвана предупредить распространенную среди пользователей данных уловку: чтобы данные не подпадали под юрисдикцию законодательства о защите персональных данных, они хранят их в компьютере в псевдообезличенной форме - без упоминания идентифицирующих сведений о субъекте данных, но с привязкой к идентификационным кодам. Таблица же соответствия

10

кодов и субъектов данных хранится (в ручной форме или на магнитных носителях) отдельно и при необходимости обеспечивает идентификацию субъектов данных этой якобы обезличенной компьютерной информации.

Исландский законодательный акт 1989 г. о регистрации и обращении с персональными данными распространяет понятие "персональные данные" и на сведения о юридических лицах (т.е. признает так называемое "корпоративное право на невмешательство в частную сферу"):

"...к персональным данным относятся данные, связанные с частными, финансовыми или иными делами индивидов, институтов, компаний или иных юридических лиц, которые эти лица обоснованно должны держать в секрете"1.

Определение из Французского закона 1978 г. об обработке данных, файлах данных и индивидуальных свободах подчеркивает, что правовое регулирование обработки персональных данных распространяется как на публичный, так и на частный сектора:

"Ст. 4. ...персональные данные - это данные, которые позволяют в любой форме, прямо или косвенно, установить личность физического лица, в отношении которого эти данные собраны, независимо от того, физическими или юридическими лицами эти данные были обработаны"2.

Особо следует отметить тщательную проработку определений персональных данных и смежных с ними понятий в Финском законодательном акте 1988 г. о файлах персональных данных:

"1. Термин "персональные данные" означает любое описание любого физического лица или характеристик физического лица, или жизненных обстоятельств, которое может быть признано как описывающее определенное частное физическое лицо или его семью или тех. кто живет с ним в одном и том же жилище.

2. Термин "файл персональных данных" означает любой набор данных, содержащий персональные данные, обработанные при

11

помощи компьютера, а также любой перечень, картотеку или иной набор данных, содержащий персональные данные и организованный соответствующим образом, благодаря которому данные о любом конкретном физическом лице могут быть найдены легко и без чрезмерных затрат.

2а. Термин "файл редакционных данных" означает любой файл персональных данных, предназначенный только для редакторских операций любого члена редакции средств массовой информации и недоступный для посторонних.

6. Термин "персональные кредитные данные" означает персональные данные, предназначенные для использования в оценке финансового статуса физического лица, его способности соответствовать своим обязательствам или степени оказываемого ему кредитного доверия.

7а. Термин "матрикула" означает любой файл персональных данных, предназначенный для публикации, в который физические лица входят в соединении со сведениями о конкретной профессии или образовании, членстве в некой профессиональной организации или ином обществе, со своим статусом или достижениями в области культуры, спорта, экономической жизни или иной гражданской деятельности или в соединении с другими сопоставимыми факторами"1.

Этот законодательный акт, относящийся к так называемым "законам второго поколения", учитывает опыт применения предыдущих отечественных и зарубежных законов и содержит ряд принципиально новых моментов. Пункт 1 распространяет понятие "персональные данные" на сведения о семье субъекта данных и о тех, "кто живет с ним в одном и том же жилище". Пункт 2 выводит понятие "персональные данные" за пределы чисто компьютерной информации, распространяя его на данные в информационных системах иных технологий (ручных, механических и т.д.). Принципиальной новинкой является определение "отраслевых" персональных данных в пунктах 2а, 6 и 7а (для кредитной отрасли и для средств массовой информации). Особенно важным представляется появление в законе определений терминов "файл редакционных данных" и "матрикула", поскольку после внедрения компьютерных технологий в

12

повседневную работу печатной и электронной прессы обработка персональных данных в средствах массовой информации стала объектом правового регулирования одновременно со стороны деликтных средств правовой защиты сферы частной жизни от посягательств в форме несанкционированных публикаций или публичной огласки, сформировавшихся в "докомпьютерную эпоху", и со стороны правовых институтов, регулирующих отношения в информационной сфере. Проработка в законе таких определений способствует тому, чтобы взаимоотношения деликтного и информационного права в этой точке соприкосновения сфер их правового регулирования были не конкурентными, а взаимно дополняющими.

Возвращаясь к критерию "чувствительность", отметим, что он используется в зарубежном законодательстве для отнесения некоторых видов персональных данных к категориям данных, требующим при их обработке повышенных мер защиты или вообще запрещенным для обработки. При этом национальный закон о защите персональных данных либо содержит прямое указание на отнесение данных к определенной категории, либо наделяет представителей государственной власти (как правило, министра, курирующего национальный орган по защите данных, иногда премьер-министра) полномочиями принятия оперативных решений по данному вопросу.

13

1 Судебное определение из дела "Диас против Окленд Трибюн, Инкорпорейтед" (139 Cal App3d 118, 1983). Цит. по: Warren Freedinan, Right of Privacy in Age of Computer. - L. - London, New York. 1986, p. 53.

2 Там же, с. 54.

1 См.: Raymond Wakes, Protection of Privacy. - London; Sweet & Maxwell. 1980. - (Mod. legal studies). - P. 31.

2 См.: Sec. 3(1) of Austrian Data Protection Act (1978).

1 См.: Denmark Private Registers Act (1979) and Public Authorities Registers Act (1979).

2 См.: Sec. 1(3) of UK Data Protection Act 1984.

1 См.: Art. l of Act Concerning the Registration and Handling of Personal Data (1989, Iceland).

2 См.: Sec.4 of Act on Data Processing, Data Files and Individual Liberties (1978, France).

1 См.: Sec.2 of Personal Data File Act (1988, Finland).