§ 1. Руководящие принципы по защите частной жизни и трансграничных потоков персональных данных в документах OECD

В 1970-х гг. одной из характерных черт законодательных программ стран-членов Организации по экономическому сотрудничеству и развитию (OECD) была разработка законов о защите "прайвеси" и персональной информации. В силу различия законодательных систем и особенностей национального менталитета, эти законы в разных странах имели тенденцию быть различными по форме и содержанию.

Поскольку национальные системы правовой защиты данных не смогли обеспечить экстерриториальность персональных данных, а существующая "разноголосица законов" препятствовала созданию международной системы правового регулирования обработки персональных данных, то в 1978 г. OECD решила обратиться к проблеме дивергенции национальных законов в этой области. Была учреждена Экспертная группа "ad hoc" с задачей разработать набор базовых руководящих принципов защиты "прайвеси" в связи с обработкой персональных данных и в связи с трансграничными потоками данных. Эти принципы должны были послужить основой для гармонизации соответствующих национальных законов.

Разработка таких руководящих принципов и достижение консенсуса стран-участниц оказались непростой задачей, поскольку весьма неоднородный состав OECD предопределил не менее неоднородный набор национальных подходов к правовой защите персональных данных. Так, например, некоторые (но далеко не все) национальные законы защищали данные, относящиеся к юридическим лицам, аналогичным образом, как и данные, относящиеся к физическим лицам. Часть стран придерживалась защиты только компьютерных персональных данных, в то время как остальные распространяли ее также на ручные и печатные данные. Среди стран-участниц были сторонницы всех трех возможных подходов к построению национальной системы правовой защиты "прайвеси" и персональных данных: генерального, секторного (отраслевого) и смешанного.

По итогам двухлетней работы Экспертной группы, включая процесс согласования разрабатываемых принципов со всеми

112

странами-участницами, Совет OECD принял Рекомендации в отношении Руководящих принципов по защите неприкосновенности частной жизни и трансграничных потоков персональных данных. Сами Руководящие принципы OECD были оформлены как приложение к этим Рекомендациям Совета и сопровождались специальным Пояснительным меморандумом, разъяснявшим причины, лежащие в основе их формулировок.1

Руководящие принципы OECD состоят из пяти частей. Часть первая содержит дефиниции и определяет сферу действия данных Руководящих принципов. Часть вторая устанавливает (§ 7-14) восемь базовых принципов защиты "прайвеси" и индивидуальных свобод в связи с обработкой персональных данных на национальном .уровне. Часть третья посвящена принципам международного применения, которые относятся, главным образом, к взаимодействию между странами-участницами. Часть четвертая определяет меры по осуществлению на практике вышеупомянутых базовых принципов и, в частности, устанавливает, что они должны применяться в некой "недискриминационной манере". Часть пятая посвящена организации взаимного содействия и сотрудничества стран-участниц (главным образом, посредством обмена информации и избежания несовместимых национальных процедур для защиты персональных данных).

Положения Руководящих принципов разработаны с целью:

а) достижения странами-участницами определенных минимальных стандартов защиты, "прайвеси" и индивидуальных свобод по отношению к персональным данным;

б) уменьшения различий между релевантными отечественными нормативными положениями конкретной страны и практикой других стран-участниц;

в) гарантии того, что при защите персональных данных на национальном уровне будут приниматься во внимание интересы других стран-участниц, а также будут, избегать ненадлежащего вмешательства в потоки персональных данных между странами-участницами;

113

г) устранения как можно больше причин, которые могли бы побудить страны-участницы ограничить или запретить трансграничные потоки персональных данных из-за возможных рисков, ассоциируемых с такими потоками.

Как установлено в преамбуле к Рекомендациям Совета OECD. предметом забот являются два важных положения демократического мира: защита "прайвеси" и индивидуальных свобод, с одной стороны, и содействие развитию свободных потоков персональных данных, с другой стороны. Руководящие принципы OECD пытаются сбалансировать их друг с другом. Принимая определенные ограничения для свободных трансграничных потоков персональных данных, они стараются уменьшить необходимость в таких ограничениях.

Представляется важным отметить позицию Руководящих принципов OECD по отношению к двум принципиальным проблемам:

- проблеме так называемого корпоративного "прайвеси" (признаваемого в ряде стран права ассоциаций, корпораций, частных фирм и общественных организаций на неприкосновенность их "частной сферы");

- дилемме автоматизированных и/или неавтоматизированных (ручных) персональных данных.

Проблема корпоративного "прайвеси". рассматриваемая Руководящими принципами применительно к данным, сводилась к вопросу: распространять ли декларируемые принципы защиты персональных данных на информацию, относящуюся к юридическим лицам. Итоговый текст Руководящих принципов OECD отражает ту точку зрения, что неприкосновенность личности и частной сферы индивидуума является во многих аспектах особенной и не должна трактоваться тем же самым образом, что и неприкосновенность некой группы физических лиц или корпоративная безопасность и конфиденциальность. Потребности в защите у этих двух категорий совершенно различны. Некоторые члены Экспертной группы предполагали, что должна быть предусмотрена возможность распространения Руководящих принципов на юридических лиц (корпорации, ассоциации и т.п.). Однако это предложение не обеспечило себе консенсуса. Поэтому сфера действия Руководящих принципов ограничена данными, относящимися к индивидуумам, а на долю стран-участниц оставлена задача провести соответствующие разделительные линии и принять

114

решение относительно их собственной политики по отношении к "частной сфере" корпораций, групп, партий и иных подобных организаций.

Что касается второй проблемы, то Экспертная группа уделила особое внимание вопросу о том. должны ли Руководящие принципы ограничиваться только персональными данными, автоматически обрабатываемыми при помощи компьютеров. В пользу такого подхода можно было бы привести целый ряд оснований, например, особая опасность угроз для права индивидуума на невмешательство в его частную жизнь, возникающих из-за автоматизации и существования банков компьютеризованных персональных данных, или все увеличивающееся доминирование автоматизированных методов обработки данных, особенно в сфере трансграничных потоков данных.

Однако Экспертная группа пришла к заключению, что ограничение Руководящих принципов только областью автоматизированной обработки персональных данных было бы существенным недостатком этой инициативы OECD. Начать хотя бы с того, что в терминах определений очень трудно провести различие между автоматизированной и неавтоматизированной обработкой данных. Существуют, например, "смешанные" системы обработки данных и существуют такие стадии в обработке данных, которые могут привести к автоматизированной обработке, а могут и не привести. И эти трудности имели тенденцию к дальнейшему усложнению, благодаря непрекращающемуся развитию технологий. Кроме того, концентрация Руководящих принципов исключительно на компьютерной обработке данных могла привести к их непоследовательности и лакунам, предоставить контролерам данных удобную возможность для обхода общих правил и национальных законов, реализующих на практике эти Руководящие принципы при помощи использования неавтоматических средств для определенных целей. Именно в силу вышеуказанных трудностей. Руководящие принципы не устанавливают какого-либо определения "автоматизированной обработки данных", хотя само это понятие упоминается в преамбуле и в § 3 Руководящих принципов OECD.

Принципы защиты "прайвеси" и индивидуальных свобод, выраженные в Руководящих принципах, распространяются на обработку данных вообще, безотносительно к конкретной используемой

115

технологии. Следовательно. Руководящие принципы OECD применяются к персональным данным вообще или, что более точно, применяются к персональным данным, обработанным таким способом, который представляет собой опасность для "прайвеси" и индивидуальных свобод в силу характера или контекста этих данных.

Следует заметить, однако, что Руководящие принципы OECD не представляют собой некий набор принципов всеобъемлющей защиты "прайвеси". Такие посягательства на сферу частной жизни как. например, несанкционированная фотосъемка, тайное наблюдение или диффамация, находятся вне сферы их действия, если только такие деяния не ассоциируются с обработкой персональных данных. Таким образом, Руководящие принципы посвящены исключительно вопросам создания и использования агрегатов данных (т.е. файлов, банков данных, досье, публикаций, документов и т.п.), которые специально организованы для хранения и последующего воспроизведения, публикации, принятия решений, проведения исследований и других подобных целей.

Необходимо подчеркнуть, что Руководящие принципы OECD нейтральны по отношению к используемой технологии обработки данных; автоматизированные методы являются лишь только одной из проблем, поднятых в Руководящих принципах, хотя, особенно в контексте транснациональных потоков данных, очевидно, что эта проблема - важнейшая.

Несмотря на свой юридически не обязательный характер. Руководящие принципы оказали большое влияние на становление современных национальных систем правовой защиты "прайвеси" и персональных данных в таких странах, как Австрия, Канада. Финляндия. Особо ревностным приверженцем этих Руководящих принципов является Япония.

Говоря о значении Руководящих принципов OECD, нельзя не отметить, что их создатели уже в начале 1970-х гг. предугадали большое будущее корпоративных (нестатутных) средств саморегулирования, и, в частности, отраслевых и корпоративных кодексов практики/поведения.

В настоящее время кодексы практики/поведения стали общепризнанным инструментом нестатутной защиты персональных данных, а их легитимизация, как показывает опыт Ирландии и

116

Нидерландов, представляет собой весьма перспективный метод системного и последовательного создания "отраслевых" законов для защиты "прайвеси" и персональных данных.

117

1 См.: OECD documents. Privacy and data protection: Issues and Challenges, Information Computer Communication Policy. OECD Paris, 1966.