Необходимость правовой охраны персональных данных диктуется, прежде всего, стремительным развитием информатизации и возникающими в связи с этим новыми угрозами для неприкосновенности личной жизни граждан. Для стран, не имеющих к настоящему моменту соответствующего законодательства (к которым относится и Российская Федерация), помимо очевидных проблем с адекватной защитой прав и свобод граждан в условиях информационного общества, становится реальной и другая опасность - возможность ограничений на передачу персональных данных в такие страны со стороны других государств. Ограничения такого рода могут служить серьезным препятствием для внешнеэкономической деятельности целого ряда коммерческих структур, в числе которых - банки, страховые и туристические фирмы, авиакомпании и др.

Проблема ограничения трансграничной передачи персональных данных, уже сравнительно давно обсуждавшаяся в специальной литературе, резко актуализировалась в 1998 году в связи со вступлением в силу Директивы Европейского Союза об охране персональных данных . Наряду с установлением общеевропейских стандартов охраны, Директива в ст. 25 ограничивает передачу персональных данных в страны, не обеспечивающие "адекватного уровня охраны". При этом, несмотря на наличие ряда исключений (ст.26), отсутствие в конкретном государстве специального законодательства по данному вопросу делает задачу доказательства наличия адекватной охраны практически невыполнимой. Ярким примером актуальности и сложности разрешения данной проблемы служит реально нависшая возможность "торговой войны" между ЕС и США, в связи с отсутствием в Соединенных Штатах федерального законодательства об охране персональных данных (при достаточно сильной защите других аспектов неприкосновенности частной жизни граждан). Предложения таких возможных альтернативных решений данной проблемы как создание и использование типовых условий контрактов, специальных сводов правил, добровольно принимаемых соответствующими коммерческими структурами и др. не были признаны обеспечивающими адекватную охрану.

Стремительно растущая вовлеченность России в систему международных информационных обменов делает актуализацию сходных проблем реальной для Российской Федерации уже в ближайшей перспективе. Далее мы остановимся на ситуации с охраной персональных данных в Российской Федерации с точки зрения ее адекватности международным требованиям и обеспеченности беспрепятственных трансграничных обменов такой информацией.

В Российской Федерации положение об охране персональных данных закреплено в настоящее время на самом высоком - конституционном - уровне в части третьей ст.9 российской Декларации прав и свобод человека и гражданина, а также в ст.24 Конституции РФ 1993 года, которая в ч.1 провозглашает:

"Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается".

Хотя, по общему правилу (ч.1 ст.15 Конституции РФ), данная статья имеет прямое действие; эффективная ее реализация, как показывает мировой опыт, может быть осуществлена только в соответствующем специальном законодательстве. Среди актов, принятых к настоящему моменту и затрагивающих отдельные аспекты этой проблемы, следует отметить Федеральные Законы РФ "Об информации, информатизации и защите информации" от 25 января 1995г. и "Об участии в международном информационном обмене" от 5 июня 1996г. К сожалению, последний из указанных законов, который по кругу регулируемых отношений (включающему в том числе "международный обмен конфиденциальной информацией" - п. 2 ст. 1) непосредственно мог бы содержать регулирование трансграничной передачи персональных данных, по существу проходит мимо данной проблемы. Указание ст. 8 Закона на то, что вывоз из РФ конфиденциальной информации (т.е. в том числе и персональных данных) "ограничивается" и может быть санкционирован Правительством РФ в каждом отдельном случае, может вызвать только путаницу при попытке осуществления на практике.

Закон "Об информации, информатизации и защите информации" носит комплексный характер, являясь по существу базовым для формирующейся отрасли законодательства в сфере информатизации. Несмотря на обширность комплекса информационных отношений, регулируемых данных законом, ряд его положений напрямую направлен на развитие правовой охраны информационной неприкосновенности личности. Так, впервые в российском законодательстве дается понятие персональных данных - "сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность". Таким образом, можно констатировать, что российский законодатель предпочел узкую трактовку субъекта, данные о котором подлежат правовой охране, не включая в него юридических лиц и другие корпоративные образования.

Особенно важное значение имеет ст.11 Закона, прямо развивающая положения ч.1 ст.24 Конституции РФ. В соответствии с п.1 персональные данные отнесены к категории конфиденциальной информации (доступ к которой ограничен). Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан РФ. Имеет место и антидискриминационный запрет на ограничения прав граждан РФ на основе использования информации об их социальном происхождении, расовой, национальной, языковой, религиозной и партийной принадлежности.

Можно выделить следующие гарантии обеспечения права лица на информационную неприкосновенность, предусмотренные рассматриваемым законом:

1. Категории персональных данных, могущих собираться государственными органами, органами местного самоуправления, а также негосударственными организациями, должны быть закреплены на уровне федерального закона.

2. Допускается единственное исключение из правила об обязательном согласии лица на сбор, хранение, использование и распространение информации и его частной жизни, - судебное решение (п.1 ст.11).

3. Предусматривается обязательное лицензирование деятельности негосударственных организаций и частных лиц, связанной с обработкой и предоставлением пользователям персональных данных (п.4 ст.11).

4. В развитие п.2 ст.24 Конституции РФ Закон наделяет субъектов информации не только правом на доступ к ней, но и на уточнение этой информации в целях обеспечения ее полноты и достоверности, а также правом знать, кто и в каких целях использует или использовал эту информацию. При этом владелец документированной информации о гражданах обязан предоставить информацию бесплатно по требованию лиц, которых она касается (пп.1,2 ст.14).

5. Предусматривается и возможность судебного обжалования неправомерных ограничений вышеназванных правомочий (п.5 ст.11, п.4 ст.14).

Все вышеуказанные положения Закона РФ от 20.02.95г., закладывая исходные начала в регулировании данного вида отношений, представляют собой серьезную заявку на развитие специального законодательства в этой области. Так ст. 21 Закона прямо указывает, что режим защиты персональных данных устанавливается федеральным законом. Многие другие положения Закона, затрагивающие охрану персональных данных, также предполагают свое развитие в специальном законодательном акте(ах). Необходимым логическим продолжением должно стать принятие федерального закона "О персональных данных", проект которого уже сравнительно давно разрабатывается в Государственной Думе.

Естественным ориентиром для российского законодателя при разработке и принятии законодательства об охране персональных данных должны быть требования Конвенции Совета Европы "Об охране личности в отношении автоматизированной обработки персональных данных" от 28 января 1981 года. В связи с вхождением России в члены Совета Европы в 1996 г. трудно переоценить значение тех ориентиров в сфере охраны прав человека, которые закладываются данной организацией. В области защиты персональных данных приведение российского законодательства в соответствие с Конвенцией 1981г., а затем - и присоединение РФ к данному договору, позволило бы говорить об установлении международно-признанных стандартов обращения с информацией персонального характера и недопустимости каких-либо ограничений на передачу такой информации в РФ.

Кратко характеризуя содержание Конвенции, необходимо отметить закрепление ряда важных, широко признанных принципов охраны персональных данных (ст. 5), таких как:

- Законность способов получения персональных данных;
- Их хранение для определенных и законных целей, с запретом на использование, несовместимое с этими целями;
- Адекватность объема данных целям их сбора и хранения;
- Соответствие персональных данных действительности, с регулярным их обновлением, там где это необходимо;
- Хранение персональных данных в форме, позволяющей идентифицировать субъектов данных в течение срока, не превышающего тот, который оправдан целью их хранения.

Конвенция содержит прямой запрет на автоматизированную обработку таких особых категорий персональных данных как сведения о расовом происхождении, о политических, религиозных и других убеждениях, об интимной жизни, а также о судимостях лица, при отсутствии соответствующих гарантий их охраны. Устанавливаются требования по защите информации от случайного или незаконного доступа, изменения и распространения. Субъекты данных должны быть обеспечены правами:

- знать о существовании соответствующего автоматизированного файла, его основных целях, а также - о местонахождении организации, контролирующей эти данные;
- получать в разумные промежутки времени и без чрезмерных расходов подтверждения о факте хранения автоматизированного файла с персональными данными, а также получать содержание такого файла в понятной для субъекта форме;
- требовать исправления или удаления данных, если они обрабатываются в противоречии с нормами национального законодательства, соответствующего Конвенции;
- иметь средства правовой защиты, в случаях несоблюдения вышеперечисленных прав.

Таким образом, можно видеть, что выполнение требований Конвенции в целом соответствовало бы уже действующим положениям российского законодательства и было бы их необходимым развитием.

В заключение можно констатировать, что существующая в настоящее время в РФ система охраны персональных данных пока далека от соответствия международным стандартам в этой сфере, что не только лишает российских граждан возможности реализовывать свои конституционные права, но и потенциально чревато ограничениями на информационные потоки с Россией. Необходимо скорейшее принятие специального федерального законодательства, которое должно учесть международную практику в данной области.