Правило конфиденциальности
Правило конфиденциальности (англ. Privacy Rule) — совокупность правовых норм и организационно-технических мер, регулирующих сбор, обработку, хранение, использование и распространение информации, относящейся к частной жизни лица, его персональным данным, семейной и личной тайне. В широком смысле термин охватывает как законодательные акты (например, федеральные законы, регламенты), так и внутренние политики организаций, направленные на защиту конфиденциальной информации от несанкционированного доступа, разглашения, изменения или уничтожения. Конкретное содержание правила зависит от юрисдикции, отрасли и типа обрабатываемых данных.
История развития
Идея защиты конфиденциальности частной информации восходит к правовым доктринам XIX века, в частности к статье Сэмюэля Уоррена и Луиса Брандейса «Право на частную жизнь» (1890 год), в которой обосновывалось право человека на неприкосновенность личной сферы. В XX веке с развитием информационных технологий и массового сбора данных возникла необходимость в формализованных правилах.
Первые значимые законодательные акты появились в 1970-х годах: в 1970 году в ФРГ принят закон о защите персональных данных земли Гессен, а в 1974 году в США — Закон о конфиденциальности (Privacy Act). В 1980 году Организация экономического сотрудничества и развития (ОЭСР) опубликовала «Руководящие принципы защиты конфиденциальности и трансграничных потоков персональных данных», заложившие основу для современных стандартов.
В России правовое регулирование в этой сфере активно развивается с 1990-х годов. Ключевым актом является Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных», который устанавливает правила обработки персональных данных граждан. В 2015 году вступили в силу поправки, требующие локализации баз данных российских пользователей на территории РФ.
Основные принципы
Независимо от конкретной юрисдикции, большинство правил конфиденциальности базируются на следующих принципах:
- Законность и справедливость: обработка данных должна осуществляться на законных основаниях и добросовестно.
- Целевая ограниченность: данные собираются для четко определенных, явных и законных целей и не обрабатываются далее несовместимым с этими целями образом.
- Минимизация данных: объем собираемых данных должен быть достаточным и не превышать необходимый для заявленных целей.
- Точность: данные должны быть точными и при необходимости обновляться.
- Ограничение срока хранения: данные хранятся в форме, позволяющей идентифицировать субъектов, не дольше, чем это требуется для целей обработки.
- Целостность и конфиденциальность: обеспечивается надлежащая безопасность данных, включая защиту от несанкционированной или незаконной обработки, случайной потери, уничтожения или повреждения.
- Прозрачность и подотчетность: оператор данных несет ответственность за соблюдение правил и должен демонстрировать это соответствие.
Классификация правил конфиденциальности
Правила конфиденциальности можно классифицировать по нескольким основаниям:
По сфере действия
- Общие (горизонтальные): распространяются на все отрасли и типы обработки персональных данных. Пример — Общий регламент по защите данных (GDPR) в Европейском союзе или Федеральный закон № 152-ФЗ в России.
- Отраслевые (вертикальные): регулируют специфические сферы. В США это, например, Закон о переносимости и подотчетности медицинского страхования (HIPAA) для медицинских данных, Закон о защите конфиденциальности детей в интернете (COPPA) для данных детей, Закон Грэмма-Лича-Блайли (GLBA) для финансовой информации. В России — Федеральный закон от 21 ноября 2011 года № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» (в части врачебной тайны).
По субъекту регулирования
- Государственные: устанавливаются законами и подзаконными актами, обязательны для исполнения на территории соответствующей юрисдикции.
- Корпоративные: внутренние политики и регламенты организаций, часто разработанные в соответствии с требованиями законодательства или стандартов (например, ISO/IEC 27701).
- Договорные: соглашения между сторонами (например, соглашение о неразглашении — NDA).
Регулирование в России
В Российской Федерации основу правового регулирования составляют:
- Конституция РФ: статья 23 гарантирует право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени; статья 24 запрещает сбор, хранение, использование и распространение информации о частной жизни лица без его согласия.
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»: определяет принципы и условия обработки персональных данных, права субъектов, обязанности операторов, меры по обеспечению безопасности, порядок трансграничной передачи.
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»: устанавливает общие правовые основы в сфере информации.
- Трудовой кодекс РФ: содержит положения о защите персональных данных работника (глава 14).
- Кодекс РФ об административных правонарушениях (КоАП РФ) и Уголовный кодекс РФ (УК РФ): предусматривают ответственность за нарушение правил конфиденциальности (ст. 13.11 КоАП РФ, ст. 137 УК РФ).
Контроль за соблюдением законодательства в этой сфере осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Международные стандарты и регламенты
Наиболее влиятельным международным актом является Общий регламент по защите данных (GDPR) Европейского союза, вступивший в силу 25 мая 2018 года. GDPR устанавливает строгие требования к обработке персональных данных граждан ЕС, включая право на забвение, право на переносимость данных, обязательное уведомление об утечках, высокие штрафы (до 4% годового оборота компании или 20 млн евро). GDPR оказал существенное влияние на законодательство многих стран, включая Россию, где отдельные его принципы были имплементированы в 152-ФЗ.
Другие значимые международные акты: Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Конвенция 108), Азиатско-Тихоокеанские рамки конфиденциальности (APEC Privacy Framework), Закон Калифорнии о защите конфиденциальности потребителей (CCPA) в США.
Применение в различных сферах
Медицина
В медицинской сфере правило конфиденциальности защищает врачебную тайну — информацию о факте обращения за медицинской помощью, состоянии здоровья, диагнозе и иные сведения, полученные при обследовании и лечении. В России это регулируется статьей 13 Федерального закона № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации». Разглашение врачебной тайны допускается только с согласия пациента или по основаниям, предусмотренным законом (например, при угрозе распространения инфекционных заболеваний, по запросу суда).
Финансовый сектор
Банки, страховые компании и другие финансовые организации обязаны соблюдать банковскую тайну (ст. 857 ГК РФ, ст. 26 Федерального закона «О банках и банковской деятельности»). Она включает сведения о счетах, вкладах, операциях и клиентах. Разглашение возможно только в случаях, прямо предусмотренных законом (например, по запросам налоговых органов, судов, Росфинмониторинга).
Интернет и телекоммуникации
Операторы связи и интернет-компании обязаны соблюдать тайну связи (ст. 63 Федерального закона «О связи») — конфиденциальность переписки, телефонных переговоров, почтовых отправлений и иных сообщений. Ограничение допускается только на основании судебного решения. Кроме того, действуют правила обработки персональных данных пользователей, включая требования о локализации баз данных.
Ответственность за нарушение
Нарушение правил конфиденциальности влечет различные виды ответственности:
- Административная: штрафы для должностных и юридических лиц (в России по ст. 13.11 КоАП РФ — до 100 тыс. рублей за нарушение порядка обработки персональных данных; за повторное нарушение — до 300 тыс. рублей; за нарушение требований о локализации — до 6 млн рублей).
- Уголовная: за незаконное собирание или разглашение сведений о частной жизни (ст. 137 УК РФ) — штраф до 200 тыс. рублей, обязательные работы, арест до 4 месяцев, лишение свободы до 2 лет; за разглашение врачебной тайны (ст. 137 УК РФ) — до 4 лет лишения свободы.
- Гражданско-правовая: возмещение морального вреда и убытков, причиненных нарушением прав субъекта персональных данных.
- Дисциплинарная: для работников, нарушивших внутренние правила обработки данных.
Критика и вызовы
Правила конфиденциальности часто подвергаются критике по нескольким направлениям:
- Избыточность и бюрократизация: требования к получению согласий, ведению документации и отчетности могут создавать значительную административную нагрузку на организации, особенно малый бизнес.
- Сложность соблюдения в глобальном масштабе: компании, работающие в нескольких юрисдикциях, вынуждены соответствовать множеству различных, подчас противоречащих друг другу правил.
- Недостаточная эффективность: несмотря на строгие законы, утечки персональных данных продолжаются, а механизмы контроля и наказания не всегда успевают за развитием технологий.
- Баланс с другими интересами: возникают споры о том, как правило конфиденциальности соотносится с интересами национальной безопасности, борьбы с преступностью, научными исследованиями и свободой слова.
- Технологический разрыв: быстрое развитие искусственного интеллекта, больших данных и интернета вещей создает новые вызовы, на которые существующие правовые нормы не всегда могут адекватно ответить.
Источники
- Конституция Российской Федерации (ст. 23, 24).
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
- Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» (ст. 13).
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
- Кодекс Российской Федерации об административных правонарушениях (ст. 13.11).
- Уголовный кодекс Российской Федерации (ст. 137).
- Регламент Европейского парламента и Совета Европейского союза 2016/679 (GDPR).
- Warren, S. D., & Brandeis, L. D. (1890). The Right to Privacy. Harvard Law Review, 4(5), 193–220.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →