Законодательство
Выдержки из законодательства РФ

Законы
Постановления
Распоряжения
Определения
Решения
Положения
Приказы
Все документы
Указы
Уставы
Протесты
Представления







"ПЕРСОНАЛЬНЫЕ ДАННЫЕ В ИНТЕРНЕТЕ"
(В.О. Калятин)
("Журнал российского права", № 5, 2002)

Дата
25.04.2002

Официальная публикация в СМИ:
"Журнал российского права", 2002, № 5

Автор
Калятин В.О.






ПЕРСОНАЛЬНЫЕ ДАННЫЕ В ИНТЕРНЕТЕ

В.О. КАЛЯТИН

Калятин Виталий Олегович - юрист фирмы "Фрешфилдс Брукхаус Дерингер", кандидат юридических наук.

Развитие во второй половине XX в. глобальных информационных систем при всех несомненных выгодах поставило перед обществом и проблему обеспечения неприкосновенности частной сферы человека. Особенно актуальной она стала с развитием Интернета, поскольку физические лица включены в эту систему непосредственно, в отличие от других информационных систем, что делает их весьма уязвимыми к любым посягательствам на частную сферу их жизни. С другой стороны, лица, получающие персональные данные о пользователях через Интернет, должны быть внимательны и осторожны при работе с такого рода информацией. Отношения лица, собирающего информацию (контролера данных), с физическим лицом, о котором собирается информация (субъектом информации), вызывают множество вопросов. Безучастным к ним, как правило, не остается государство, гражданином которого является субъект информации или на территории которого хранится информация.
Согласно ст. 2 Федерального закона "Об информации, информатизации и защите информации" конфиденциальная информация - это документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. Ее разновидностью является информация о гражданах <*> (персональные данные), под которой указанный Закон понимает сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность. Данное определение представляется недостаточно точным, поскольку создает впечатление, что речь идет исключительно об идентификации ранее неизвестного лица, в то время как информация может собираться и об уже известном лице. Директива Европейского Сообщества № 95/46/EC прямо определяет персональные данные как любую информацию, относящуюся к идентифицированному лицу или к лицу, которое может быть идентифицировано. Иначе говоря, указывается на "информацию об идентифицируемом лице", а не на "идентифицирующую информацию", как в российском Законе.

   --------------------------------

<*> В некоторых странах определенная информация о юридических лицах может приравниваться к информации о гражданах и рассматриваться как "персональные данные" (см., например, исландский Закон "Act Concerning the Registration and Handling of Personal Data"), однако пока такой подход не является общепринятым. В то же время нужно иметь в виду, что ряд документов (например, Директива Европейского Сообщества № 97/66/ЕС), хотя прямо и не называет информацию о юридических лицах "персональными данными", но по сути обязывает предоставить им режим охраны, близкий к охране персональных данных.

Важно отметить и указание на возможность идентификации. Это уточнение позволяет охватить и случаи, когда информация не включает имя лица, однако, учитывая определенный способ ее организации, можно при желании установить и имя субъекта информации (например, по порядковому номеру). Об этом "широком" определении "персональных данных" забывать не следует, поскольку в силу выхода деятельности в Интернете за пределы государственных границ деятельность контролера данных может подпадать под действие иностранного права.
Как правило, персональная информация делится по уровням "чувствительности" для субъекта <*>. Выделение группы "чувствительных" данных производится с целью определить информацию, действия с которой могут осуществляться только при условии ясного согласия на них субъекта информации (в отличие от "персональных данных", действия с которыми могут осуществляться на основании общего согласия лица на сбор информации о нем) <**>. Частично (хотя и весьма неполно) такое разделение проведено и в российском Федеральном законе "Об информации, информатизации и защите информации". Согласно п. 1 ст. 11 этого Закона не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица, без его согласия, кроме как на основании судебного решения. Отсюда следует, что не ограничиваются сбор, хранение, использование и распространение информации о публичной сфере деятельности лица, его служебных обязанностях, несмотря на то что такая информация формально может подпадать под понятие "персональных данных". Действия же с "чувствительными данными" без согласия субъекта информации должны позволяться только в исключительных случаях. Например, в случае необходимости оказания субъекту информации медицинской помощи, при наличии важных общественных интересов и т.п.
   --------------------------------

<*> Например, Data Protection Act 1998 г., принятый в Великобритании, относит к "чувствительным" данным информацию о расовом или этническом происхождении лица, политических и религиозных взглядах, членстве в профсоюзе, о совершении им правонарушений, физическом или психическом здоровье или состоянии, сексуальной ориентации.
<**> При определенных обстоятельствах подобные действия возможны и без запроса согласия лица.

Помещение персональных данных в Интернет

Само по себе помещение конфиденциальной информации в Интернет не обязательно означает ее разглашение. Разглашения может и не происходить, если доступ на сайт ограничен (например, с помощью пароля). Однако зачастую достаточно трудно оценить эффективность средств по ограничению доступа к информации, чтобы установить, действительно ли принятые меры способны предупредить доступ к ней посторонних лиц. В большинстве же случаев помещение информации в Интернет сопровождается открытием к ней доступа остальным его пользователям.
При этом помещение информации в Интернет может быть более опасным для заинтересованного лица, чем некоторые другие способы ее разглашения. Это связано прежде всего с "всемирными" масштабами доступа к информации в этой сети. Движение информации в Интернете невозможно контролировать, в связи с чем остановить дальнейшее ее распространение практически нельзя. Даже если сайт будет быстро закрыт, нельзя быть уверенным, что информация не была скопирована одним из посетителей сайта и что она не всплывет в Интернете вновь через некоторое время. Неудивительно, что Интернет стал популярным местом размещения компрометирующих материалов в отношении политиков и бизнесменов.
Разглашение конфиденциальной информации может произойти как при открытом размещении информации, так и просто при использовании Интернета в качестве средства коммуникации. Риск разглашения информации существует, учитывая недостаточную безопасность ее передачи с помощью Интернета и глобальный характер возможного распространения информации. Сложным становится и обеспечение режима конфиденциальности после получения информации адресатом. Получатель может проживать в стране, не обеспечивающей должный уровень охраны такой информации.
Дополнительно усложняет ситуацию и необходимость учета законодательства различных стран. При передаче информации через Интернет заинтересованные лица (например, отправитель, получатель (получатели) соответствующих сведений, сам владелец конфиденциальной информации и т.д.) могут находиться в разных странах. Подходы, использующиеся судами разных стран, различаются достаточно сильно. В качестве оснований установления соответствующей юрисдикции признаются самые разные обстоятельства - от причинения вреда на территории данной страны до доступности сайта с ее территории. С другой стороны, существует и риск, что соответствующее иностранное право может быть применено к деятельности российского лица (например, ввиду использования услуг местного интернет - провайдера для создания сайта - зеркала основного сайта, обеспечивающего более быстрый доступ к материалам, размещенным на сайте). Так, Data Protection Act Великобритании применяется, в частности, в случаях, когда лицо, являющееся контролером данных, использует на территории страны оборудование для передачи данных для целей иных, чем транзит данных (похожие правила существуют и в других странах Европы). Фактически такой подход означает необходимость соблюдать законодательство (например, в отношении регистрации в качестве контролера данных) одновременно многих стран.
В зависимости от направленности движения информации возникающие проблемы могут быть рассмотрены в двух аспектах - в отношении сбора конфиденциальной информации с использованием Интернета и в отношении предоставления доступа к конфиденциальной информации через Интернет.

Сбор конфиденциальной информации
с использованием Интернета

Во многих случаях владелец сайта обладает различной информацией о лице, посетившем этот ресурс. Посетитель сайта может добровольно заполнить анкету на сайте, ответить в ходе использования сайта на определенные вопросы его владельца; сохраняется информация о действиях посетителя на сайте (сведения о товарах, которыми интересовался посетитель, их ценовой группе и т.п.). Наконец, владельцу сайта становится доступной и определенная техническая информация о посетителе и его компьютере с помощью так называемых куки (cookie).
Собранная информация может оказаться очень полезной для владельца сайта, использоваться им для определения направления путей развития сайта, а также для индивидуализации оказываемых услуг. Но такие данные могут заинтересовать и других лиц. Так, реклама с помощью электронной почты является сегодня одним из наиболее эффективных способов продвижения товаров, и базы данных с адресами электронной почты всегда пользуются спросом. Базы данных с более детальной информацией о клиентах имеют еще большую ценность, поскольку они позволяют максимально индивидуализировать предложение потенциальному клиенту.
Естественно, что посетителю сайта небезразлично, какую информацию о нем удалось получить владельцу сайта и собирается ли он передавать ее третьим лицам. Даже если посетитель сайта заполнил анкету добровольно, он может возражать против предоставления такой информации третьим лицам. Например, потому, что не хочет получать незапрошенную электронную почту рекламного характера ("спам"). Тем более нарушаются интересы посетителя сайта, если информация о нем собирается скрытно. Такие случаи не редкость. Так, в начале 2000 г. разгорелся скандал в связи с появившейся в прессе информацией о планах Doubleclick (компании, занимающейся рекламой в Интернете) собирать информацию о действиях своих клиентов в Интернете, посещенных ими сайтах и т.п., а затем, снабдив эту информацию именами лиц, продавать ее фирмам, рекламирующим свои товары в Интернете. Только под давлением общественности и благодаря вмешательству ряда государственных органов США эта компания была вынуждена пересмотреть свои планы.
В соответствии с названным Федеральным законом необходимо согласие лица на сбор, хранение, использование и распространение информации о его частной жизни. Но и с получением такого согласия при общении через Интернет могут возникнуть трудности. До начала полноценного применения в России электронных подписей доказать получение согласия лица достаточно сложно, а получить письменное подтверждение не всегда возможно. В любом случае следует стараться получить максимально возможные подтверждения от лица, информация о котором собирается. В частности, на сайте можно поместить заметное и понятное по смыслу описание порядка использования информации владельцем сайта, а также обеспечить программным способом невозможность доступа посетителя к содержанию сайта без нажатия кнопки, подтверждающей согласие посетителя на сбор и использование информации.
Сайт, собирающий информацию, не только должен получить согласие лица на сбор информации о нем, но и создать определенные условия ее хранения. Как минимум должны обеспечиваться сохранность полученной информации и ее конфиденциальность, а субъект информации должен иметь возможность проверить соблюдение оговоренных правил.
В качестве примера требований, обычно предъявляемых к сайту для того, чтобы он мог быть признан обеспечивающим адекватную защиту конфиденциальной информации, можно привести Code of Fair Information Practice (1973 г.), регулирующий в США порядок автоматизированной обработки персональных данных. В частности, не должны храниться данные, само существование которых является секретом; у лица, информация о котором хранится, должна быть возможность выяснить, какая информация о нем хранится и как используется; у этого лица должна быть также возможность предотвратить использование без его согласия персональной информации о нем для иных целей, чем те, что были оговорены при первоначальном предоставлении информации; он должен иметь и возможность исправлять хранящуюся информацию; организация, ее обрабатывающая, должна обеспечить достоверность такой информации в отношении указанных целей и принимать меры по предотвращению злоупотреблений такими данными. Близкие этому правила устанавливает и Директива № 95/46/ЕС.
На практике обычно не требуется, чтобы все правила работы с сохраняемой информацией, которых придерживается администратор сайта, были изложены в уведомлении, показываемом посетителю. Достаточно, чтобы оно содержало ссылку на документ, описывающий правила работы данного сайта с персональной информацией о посетителях. Требования к этим правилам в разных странах достаточно схожи. Так, Федеральная торговая комиссия США разъясняла, что данные правила должны указывать: какая информация собирается; цели ее использования; третьих лиц, которым может быть предоставлена собранная информация; способы, с помощью которых посетители сайта могут получить доступ к собранной о них информации и удалить ее из базы данных сайта или третьих лиц (и соответствующие процедуры); должен сообщаться и сам факт, что определенная информация собирается.
В европейских странах сбор персональных данных сопряжен с выполнением ряда дополнительных условий. Наиболее распространенное - обязанность контролера данных регистрироваться (в Германии, Нидерландах и др.) или уведомлять (в Великобритании, Испании, Италии, Франции и др.) орган, уполномоченный следить за соблюдением правил о сохранности данных. Уведомление такого органа до совершения действий с персональными данными предусмотрено и Директивой Европейского Сообщества № 95/46/ЕС. Невыполнение указанной обязанности может караться серьезным штрафом или даже рассматриваться как уголовное преступление (например, в Великобритании, Италии, Нидерландах, Франции).
В ряде стран более жесткие правила установлены в отношении случаев, когда посетителем сайта является ребенок. В апреле 2000 года в США вступил в силу специальный Закон (Child Online Privacy Protection Act), посвященный сбору информации у таких посетителей сайтов. Если сайт предназначен для детей до 13 лет, то он должен уведомить родителей ребенка, посетившего сайт, и получить согласие от них на сбор соответствующей персональной информации, а в случае отсутствия ясно выраженного согласия от родителей вся собранная информация должна быть удалена. Однако низкая эффективность таких мер стала очевидной почти с самого начала <*>.
   --------------------------------

<*> Так, невозможно проверить, что письмо с согласием отправлено именно родителями ребенка, а не им самим, малоэффективно и требование сообщить номер кредитной карточки - ведь ребенок легко может узнать его.

Вполне понятно, что если лицо прямо выражает согласие на передачу информации о себе кому-то еще, то у законодателя нет причин запрещать такую передачу данных. Но этот вывод будет справедливым только в том случае, если согласие одной из сторон не является вынужденным. На практике же все чаще компании, собирающие информацию о своих пользователях, определяют в рамках своих типовых договоров с пользователями или стандартах поведения, что они имеют право передавать информацию третьим лицам. Например, в правилах интернет - аукциона QXL.com прямо указано, что эта компания сохраняет за собой право предоставлять информацию об адресах электронной почты своих клиентов фирмам, предлагающим услуги или продукты на сайте QXL. Принятие пользователем сайта установленных правил обычно рассматривается сайтом как выраженное согласие на передачу информации. Пользователь оказывается в достаточно сложном положении. Где гарантия, что другой сайт, предоставляющий аналогичные услуги (который еще надо найти), прямо не указывающий своих намерений передавать информацию о пользователях другим лицам, не будет делать это явочным порядком?
Для того чтобы облегчить посетителям оценку сайта с точки зрения сохранения конфиденциальной информации, ряд компаний ввел специальные сертификаты, которые может получить только сайт, соблюдающий на практике определенные правила обращения с получаемой конфиденциальной информацией (на сайте в этом случае размещается особый логотип такого сертификата). Из наиболее известных можно назвать сертификаты TRUSTe и BBBOnline, однако пока они еще не получили широкого распространения, тем более редки в России.
Развитие подобных систем сертификации было бы выгодно как посетителям сайтов, поскольку они получили бы определенные гарантии сохранности информации, полученной сайтом, так и самим сайтам. Отсутствие безопасности сохранения информации приведет только к тому, что посетители будут использовать имеющиеся инструменты обеспечения анонимности (например, www.anonymizer.com), а в тех случаях, когда они будут вынуждены оставить определенную информацию о себе (например, для получения доступа к услугам сайта), будут предоставлять выдуманные данные.
Особым случаем передачи персональной информации через Интернет является использование "куки" ("cookie"). Это особые файлы, позволяющие удаленному серверу отследить определенные действия пользователя Интернета. При обращении пользователя Интернета к серверу тот посылает на компьютер пользователя особый файл, который может быть затребован им при последующих обращениях этого компьютера к данному сайту. "Куки" может содержать, например, IP-адрес пользователя, тип операционной системы, установленной на компьютере, тип браузера, информацию о посещенном перед этим сайте, иногда - адрес электронной почты и другую информацию.
В целом "куки" призваны облегчать работу в Интернете, избавляя пользователя от многократного ввода одной и той же информации. Это необходимо, например, в работе электронных магазинов, когда пользователь постепенно набирает товары на разных страницах сайта. Посетителю такого магазина нет необходимости повторно указывать все выбранные им товары - по мере перемещения лица по сайту соответствующие дополнения вносились в "куки". Использование "куки" потребуется при "чате" - общении через Интернет в режиме реального времени - и во многих других случаях. "Куки" помогают владельцам сайтов персонифицировать предоставляемые услуги. При новом посещении сайта посетителю можно сообщить об изменениях, произведенных в посещенных им в прошлый раз разделах, подобрать новости, соответствующие его интересам, показать рекламу, подходящую для его возраста, круга интересов, места проживания и т.п. <*>
   --------------------------------

<*> Очевидно, что это может сильно повысить эффективность интернет - рекламы, так как "куки" позволяют не показывать посетителю явно не подходящую ему рекламу, например, в силу места его проживания в определенной стране.

В то же время "куки" могут быть и опасными. С помощью этого инструмента можно собирать информацию о посетителях сайта, отслеживая не только их действия на сайте, но и посещение ими иных сайтов в Интернете. Такую информацию можно продать, предоставив маркетинговому отделу какой-либо компании возможность целенаправленно посылать свою рекламу определенному лицу.
Иногда рекламные объявления, размещаемые на интернет - сайтах, организованы таким образом, что при создании "куки" для каждого лица формируется уникальный идентификационный номер. Это позволяет владельцу рекламного объявления (которое может быть размещено на тысячах сайтов) накапливать информацию об активности определенного лица в Интернете в целом <*>.
   --------------------------------

<*> Крупные рекламные фирмы, как, например, DoubleClick, содержат досье на десятки миллионов пользователей Интернета.

Однако многие пользователи не хотят, чтобы кто-то отслеживал их деятельность в Интернете. Наконец, не исключено, что "куки" будут перехвачены посторонним лицом при их передаче через сеть. Тем важнее установление здесь некоторых правил. В качестве образца можно, например, посоветовать Рекомендации № 1/99, подготовленные Рабочей группой по защите физических лиц в отношении передачи персональных данных, принятые 23 февраля 1999 года на основании положений Директивы Европейского Сообщества № 95/46/EC. Данный документ указывает, в частности, что пользователь должен быть поставлен в известность, если программа намеревается получить, сохранить или послать "куки". Ему необходимо сообщить, какая информация предполагается быть сохраненной в "куки", для какой цели, указать и период действительности "куки".
Пользователю всегда должна предоставляться возможность согласиться на передачу или прием "куки" или отказаться от этого. Ему необходимо дать и возможность определить, какие объекты информации следует сохранить или, наоборот, удалить из "куки". Особые файлы должны сохраняться в стандартизированной форме, при этом они должны быть организованы таким образом, чтобы пользователь мог легко выделить их на своем компьютере и удалить, если он того пожелает.
И, конечно, пользователю Интернета не следует забывать, что он может в любой момент запретить применение своим компьютером "куки" при работе в Интернете. Это не всегда универсальное решение ("куки" могут оказаться необходимыми для использования ряда сайтов), но такую возможность нужно иметь в виду.

Предоставление доступа к конфиденциальной информации
через Интернет

Случаи передачи персональных данных через Интернет многообразны. Это может быть управление банковским счетом, покупки в электронных магазинах, консультация со специалистом, проживающим в другом городе или даже стране (например, врачом или юристом), и т.п.
Естественно, что лицо, передающее информацию конфиденциального характера, должно было приобрести ее в соответствии с установленными правилами и иметь право на такие действия с данной информацией. В то же время могут устанавливаться и иные требования, обычно так или иначе вытекающие из принципа добросовестности.
Существует, однако, достаточно специфичное обстоятельство. Согласно п. 4 ст. 25 Директивы ЕС № 95/46/EC государства в определенных случаях обязаны предпринять меры по предотвращению любой передачи персональных данных в страны, не обеспечивающие адекватного уровня их охраны. Это правило способно серьезно осложнить российским лицам ведение предпринимательской деятельности через Интернет, поскольку их иностранным контрагентам местным законодательством может быть прямо запрещено передавать какие-то сведения в страны, не обеспечивающие адекватного уровня охраны такой информации.
Определенным способом участвовать в процессе передачи персональных данных в качестве получателя для лица, находящегося в стране, не обеспечивающей адекватную защиту персональным данным (например, в России), может стать заключение договора с лицом, передающим такую информацию, которое определит порядок обеспечения ее сохранности. Однако принимать на себя подобные обязательства следует только при наличии возможности их выполнить, поскольку к соблюдению рассмотренных правил обеспечения конфиденциальности в странах Европейского Сообщества относятся достаточно серьезно.
Известны и случаи коллективного подписания таких соглашений. Так, в 2000 г. в качестве средства решения проблемы передачи данных в США, также включенных в список стран, не обеспечивающих адекватную защиту персональным данным, было предложено заключение специального соглашения (safe - harbor agreement), предусматривающего обеспечение американской компанией необходимого уровня сохранности персональных данных. Однако эта инициатива на практике не привела к сколько-нибудь заметным результатам: к весне 2001 года соглашение подписали только 12 американских компаний.
Понятно, что персональные данные могут быть переданы в страну, не обеспечивающую необходимого уровня охраны, в случае, если субъект информации даст свое согласие на это. Другими возможными случаями могут быть, например, передача данных в целях исполнения договора между субъектом информации и лицом, владеющим ею, передача информации в случаях, если это требуется законодательством или необходимо для защиты важных общественных интересов <*>.
   --------------------------------

<*> См.: Ст. 26 Директивы № 95/46/ЕС.

Наиболее распространенный способ передачи информации через Интернет - электронная почта. В этом случае сохранение в тайне переданной информации зависит от многих лиц и в первую очередь от лиц, обеспечивающих функционирование почтовых ящиков отправителя и адресата. При этом распространенной практикой является использование бесплатных почтовых ящиков на различных крупных сайтах. Обычно лицо, открывающее почтовый ящик, не очень задумывается о том, в какой стране он реально расположен. Однако следует помнить: в разных странах существуют различные стандарты работы с персональной информацией.
В случае если адресат или получатель использует для переписки свой служебный адрес электронной почты, содержание его писем может стать доступным работодателю. Здесь уже возникает вопрос о посягательстве на тайну переписки. За рубежом известны случаи, когда работодатель привлекался к ответственности за перехват электронной почты сотрудников <*>.
   --------------------------------

<*> См., например: Tareg al Baho v. Marc Fermigier, Hans Hermann, and Francoise Vireux, Tribunal Correctionnel de Paris, 2000.

Незаконный перехват или доступ к электронной почте может влечь и уголовную ответственность. Например, недавно принятый в США Electronic Communications Privacy Act устанавливает наказание за подобные действия в виде штрафа до 10000 долларов и (или) тюремного заключения до одного года.
Нужно учитывать, что и "удаленные" e-mail могут продолжать храниться в системе в виде архивных копий. Таким образом, даже после увольнения работника его персональные письма могут существовать в архивах работодателя. Однако рассмотренные правила обращения с конфиденциальной информацией распространяются и на работодателя. Работник (или бывший работник) имеет все средства защиты, какие он имел бы против третьего лица, хранящего персональную информацию о нем.
Но даже соблюдение отправителем и адресатом сообщения всех установленных правил обращения с информацией еще не обеспечивает сохранения ее конфиденциальности. В силу особенностей организации Интернета передаваемая информация становится доступной многим лицам, возможно, находящимся в разных странах. В связи с этим выбор Интернета в качестве средства передачи конфиденциальной информации является достаточно ответственным. К сожалению, современное законодательство пока не предусматривает эффективных средств обеспечения сохранности такой информации лицами, которым она становится доступной в процессе передачи. Свидетельством осознания на международном уровне важности этого является закрепление в Директиве ЕС № 97/66/ЕС обязанности членов Европейского Сообщества запретить прослушивание, перехват сообщений, хранение и иные виды перехвата, отслеживания коммуникаций лицами, иными, чем сами стороны коммуникации, без их согласия <*>.
   --------------------------------

<*> Законодательство может установить исключения - для обеспечения национальной безопасности, обороны, расследования преступлений и т.п.

Весьма специфической проблемой сохранения конфиденциальности передаваемой информации, связанной с техническими особенностями работы компьютера в Интернете, является "кеширование" информации ("cash"). В процессе работы компьютер пользователя сохраняет определенные электронные данные с целью избежать неоднократного запроса из Интернета одной и той же информации. Например, компьютер может сохранять копию сайта с тем, чтобы осуществить новую запись только в случае изменений на сайте. Система может быть усложнена и далее (например, за счет использования "кеша", хранящегося на других серверах). Директива ЕС № 2000/31/EC освобождает лицо от ответственности за осуществление копирования в случае, если оно делается автоматически, имеет "промежуточный" и временный характер и его единственной целью является обеспечение более эффективной передачи информации (ст. 13). Все же в процессе работы пользователя в "кеше" может оказаться сохраненной и некоторая конфиденциальная информация (например, информация, связанная с авторизацией пользователя, осуществлением платежа и т.п.). Возможны и ситуации, когда конфиденциальной будет и информация, размещенная на сервере, - при условии, что доступ к нему ограничен (например, с помощью пароля).
Конечно, компьютер не сможет самостоятельно отличить конфиденциальную информацию от обычной. Но есть возможность определенным образом пометить данные. Существующие протоколы передачи данных через Интернет позволяют ставить пометку, означающую: "пожалуйста, не сохраняйте "в кеше" эти данные". Однако технически обеспечить выполнение другим лицом этой просьбы крайне трудно, а обязанности выполнять ее нет. Видимо, законодательство может прямо урегулировать ситуацию и запретить "кеширование" информации, если она была помечена как "некешируемая". Пока же такой запрет не установлен, заинтересованное лицо может попытаться воспользоваться ссылкой на явную недобросовестность лица, заведомо настроившего свое программное обеспечение таким образом, чтобы метка о запрете "кеширования" игнорировалась. Тем самым существует возможность привлечь нарушителя к ответственности за причинение вреда в результате недобросовестного разглашения конфиденциальной информации или несанкционированного хранения и (или) использования персональной информации. Конечно, в настоящее время это не всегда легко реализовать. Поэтому решение данного вопроса в законе представляется крайне желательным. В любом случае возможность "кеширования" должна учитываться лицом, передающим конфиденциальную информацию через Интернет.
Важно предусмотреть и порядок использования информации, передачи которой нельзя избежать по техническим причинам. Такой порядок может быть описан в договоре с провайдером доступа в Интернет. Об этом стоит подумать, в частности, если лицо собирается активно применять Интернет для передачи какой-то конфиденциальной информации, например, в ходе своей коммерческой деятельности. Однако об этом должен позаботиться и законодатель, предусмотрев определенные правила работы провайдеров с конфиденциальной информацией. Так, Директива ЕС № 97/66/ЕС устанавливает, что данные, связанные с передачей информации, сообщенные пользователями для установления соединения и сохраняемые провайдером, обеспечивающим использование публичной телекоммуникационной сети и (или) общедоступных телекоммуникационных услуг, должны быть повреждены или сделаны анонимными после разрыва соединения (за некоторыми исключениями, например, когда информация сохраняется в целях подготовки счета пользователю на оплату предоставленных услуг).
Средством, значительно снижающим риск разглашения конфиденциальной информации, передаваемой с помощью Интернета, является использование ряда современных механизмов шифрования. К сожалению, это не во всех случаях возможно и не всегда помогает. Россия относится к сравнительно небольшому списку стран, где использование механизмов шифрования частными лицами серьезно ограничено. Однако, если в нашей стране основная сложность с использованием шифрования состоит в невозможности применения механизмов шифрования в частном секторе, то в ряде стран при формальной свободе использования программ шифрования государство все равно пытается создать в той или иной форме доступ для своих компетентных органов к частной переписке. Так, несколько лет назад активно продвигалась идея соглашения между Правительством США и компаниями, разрабатывающими программное обеспечение. В обмен на разрешение экспорта технологий шифрования эти компании должны встраивать в свои программы средства скрытого доступа к шифруемым текстам. Иначе говоря, государство должно было иметь возможность в любой момент прочесть любой посланный текст, зашифрованный с помощью этих программ. Для поддержки и пропаганды этой идеи была создана специальная ассоциация - "Альянс за восстановление ключей" (Alliance for Key Recovery). Лишь в силу бурных протестов со стороны общественности решено было ограничиться созданием системы лицензирования экспорта криптотехнологий.
Этот пример показывает, что отсутствие прямого запрета на использование шифровальных технологий еще не означает возможности их эффективного использования. С другой стороны, угрозу конфиденциальности сообщений в Интернете могут представлять и определенные формы контроля уполномоченных государственных органов за потоком этих сообщений. Сравнительно недавно в прессе активно обсуждалось использование в США специальной программы Carnivore, позволяющей ФБР перехватывать и отслеживать электронную почту интересующих эту организацию лиц. Известность получили попытки принудить некоторых интернет - провайдеров установить определенные элементы упомянутой программы на своих серверах. При этом никакие лица со стороны (включая самого провайдера) не могли проконтролировать, как осуществляется доступ к собранным данным <*>. В 2000 году в Великобритании был принят закон, дающий право соответствующим государственным органам при определенных условиях требовать у провайдеров предоставления журналов сетевого трафика и перехватывать пересылаемые сообщения <**>. А в последнее время обнародованы планы Правительства Великобритании установить обязанность компаний, занимающихся бизнесом с использованием Интернета, фиксировать деятельность их клиентов в Интернете, чтобы уполномоченные государственные органы могли при желании получить доступ к этим записям <***>.
   --------------------------------

<*> Об этой программе см. www.fbi.gov/programs/carnivore/carnivore.htm.
<**> Regulation of Investigatory Powers Act 2000.
<***> См.: Grande C. Plan to fight moves on long-term e-mail records // Financial Times. 2001. 29 June.

Наконец, даже существование таинственной системы "Эшелон" (Echelon), будто бы ежесекундно сканирующей поток электронной почты и факсов жителей чуть ли не всех западных стран, нашло определенное подтверждение. По сообщению ряда авторитетных средств массовой информации <*>, деятельности этой системы был посвящен специальный внутренний отчет Европарламента <**>.
   --------------------------------

<*> См.: The Washington Post Company: http:// www.newsbytes.com/news/01/166216.html; BBC: http:// news.bbc.co.uk/hi/english/world/europe/newsid_1325000/1325186.stm.
<**> В то же время эффективность всех подобных систем с точки зрения предупреждения совершения преступлений вызывает сомнения. Недавние события в США показали, что даже мощной системы контроля за электронными коммуникациями недостаточно для выявления готовящегося преступления, поскольку преступники могут использовать в переговорах нейтральную лексику. Другое дело, что она может быть весьма полезной при слежке за конкретными лицами, а также в целях ведения экономической разведки.

Таким образом, обеспечение конфиденциальности интернет - коммуникаций не всегда возможно.
При ведении предпринимательской деятельности, связанной с предоставлением через Интернет информации о других лицах третьим лицам, нужно помнить, что такая деятельность может потребовать получения специального разрешения или лицензии. Так, в соответствии с п. 4 ст. 11 Федерального закона "Об информации, информатизации и защите информации" деятельность негосударственных организаций и частных лиц, связанная с обработкой и предоставлением пользователям персональных данных, подлежит обязательному лицензированию. Потребует лицензии, например, организация интернет - сайта, посвященного трудоустройству, содержащего, среди прочего, информацию о лицах, ищущих работу.
По своей природе Интернет противится любым ограничениям в распространении информации. Можно сказать, что свободное движение информации - это философия Интернета. Но для обеспечения свободного обмена информацией необходимо уважение права на конфиденциальность лиц, использующих Интернет. Только при обеспечении сохранности конфиденциальной информации можно говорить о полноценном использовании Интернета как средства общения, так и при осуществлении коммерческой деятельности.


   ------------------------------------------------------------------

--------------------

Автор сайта - Сергей Комаров, scomm@mail.ru