НА ГОЛОВНУ

Аграрне право Росії || Адвокатура || Адміністративне право Росії || Адміністративне право України || Цивільне право Росії || Цивільне право України || Закордонне право || Інформаційне право || Історія політичних і правових вчень || Конституційне право зарубіжних країн || Конституційне право Росії || Конституційне право України || Криміналістика || Кримінологія || Міжнародне право. Європейське право || Муніципальне право || Навчання юристів || Правоохоронна діяльність || Сімейне право Росії || Судова психіатрія || Теорія та історія держави і права || Трудове право Росії || Кримінальне право Росії || Кримінальне право України || Кримінальний процес Росії || Фінансове право Росії || Господарське право || Екологічне право Росії
Авторське право / Адвокатура / Арбітражний процес / Цивільний процес / Цивільне право (лекції, підручники) / Дисертації з цивільного права / Договірне право / Житлове право / Медичне право / Міжнародне приватне право / Спадкове право / Права споживачів / Права людини / Право інтелектуальної власності / Право власності / Право соціального забезпечення / Правове забезпечення професійної діяльності / Правове регулювання мережі Інтернет / Сімейне право / Радянське законодавство
ГоловнаЦивільне право РосіїПравове регулювання мережі Інтернет → 
« Попередня Наступна »
В.Б. Наумов. Право та Інтернет: Нариси теорії і практики. - М.: Книжковий дім «Університет». - 432 с, 2002 - перейти до змісту підручника

Законність збору інформації про користувачів

Технічний підхід полягають у створенні та розповсюдженні численних програмних і апаратних рішень у сфері інформаційної безпеки для комп'ютерних систем користувачів та провайдерів, а також у створенні спеціалізованих Інтернет-сервісов1.

У рамках розгляду та аналізу зазначеної правової проблеми будемо вважати, що при роботі користувача в мережі Інтернет є можливість отримання і використання комплексно або роздільно наступної інформації про нього: 1.

IP-адреса підключеного до мережі Інтернет комп'ютера і відомості про провайдера, послуги якого виявляються користувачеві. 2.

Адреса електронної пошти. 3.

Відомості про склад встановленого програмного забезпечення (або, зокрема, про склад додатково встановлених модулів броузера) і режимах роботи комп'ютера. 4.

Інформація, що отримується власником ресурсу з лог-файлів, а також за допомогою технології cookies, про характер відвідувань користувачем веб-сайтів і вироблених на них діях. У тому числі, інформація пов'язана з аутентифікацією користувача на ресурсах Мережі. 5.

Особиста інформація, введена користувачем при роботі з різними веб-сайтами та сервісами мережі Інтернет. 6.

Інформація про користувача, наявна у провайдера в силу надання останнім відповідних телекомунікаційних послуг Ця інформація включає логіни і паролі доступу до інформаційних систем провайдера, а також дані з лог-файлів провайдера.

1 Як приклад останнього можна навести відомий сервіс wwwanonymizer.com, що забезпечує анонімний доступ до веб-сайтів.

Спробуємо дослідити питання про те, чи є законним збір зазначеної інформації і як повинні діяти в Росії власники ресурсів і сервісів, а також провайдери, щоб не порушувати прав громадян і власних клієнтів.

У Російській Федерації стосовно до досліджуваної проблеми діють всім відомі базові інформаційні норми статей 23 і 24 Конституції Російської Федерації, повторення яких видається важливим:

«Кожен має право на недоторканність приватного життя, особисту і сімейну таємницю, захист своєї честі і доброго імені »

(п. 1 ст. 23).

«Кожен має право на таємницю листування, телефонних переговорів, поштових, телеграфних та інших повідомлень. Обмеження цього права допускається лише на підставі судового рішення »

(п. 2 ст. 23).

«Збір, зберігання, використання та поширення інформації про приватне життя особи без його згоди не допускаються» (п. 1 ст. 24).

Дані норми повинні закріплювати зміст і характер інформаційних процесів, що відбуваються в мережі Інтернет. При цьому інша конституційна норма, яка декларує право свободи пошуку, передачі, виробництва інформації (п. 4 ст. 29), надає відповідні права суб'єктам інформаційних відносин тільки в разі дотримання такими законних інтересів і прав інших суб'єктів, оскільки в ній міститься вказівка на реалізацію перерахованих дій тільки при здійсненні «будь-яким законним способом» 1.

Наведені гарантії інформаційних прав громадян розкриваються у вітчизняному законодавстві, що регулює відносини у сфері інформатизації (інформаційному законодавстві) 2.

1 На цей рахунок у 428 Резолюції Консультативної асамблеї Ради Європи (розділ «С») говориться наступне:

«У разі суперечності між правом на свободу інформації та на повагу особистому житті пріоритет має право на повагу до особистого життя ». Бачило І. Л., Лопатин В. Н., Федоров М. А. Інформаційне право. СПб.: Юридичний центр Прес, 2001. С. 274.

2 Теорія питання, пов'язана з інститутом недоторканності приватного життя стосовно до інформаційних процесів, розкрита в главі 8 підручника «Інформаційне право». Бачило І. Л., Лопатин В. Н., Федоров М. А. Інформаційне право. СПб.: Юридичний центр Прес, 2001.

У Федеральному Законі від 20 лютого 1995 року № 24-ФЗ «Про інформацію, інформатизації і захисту інформації» (далі - закон «Про інформацію») вводиться інститут персональних даних.

Поняття останніх визначається в ст. 2 закону «Про інформацію»: «інформація про громадян (персональні дані) - відомості про факти, події і обставини життя громадянина, що дозволяють ідентифікувати його особу».

Персональні дані відносяться законом «Про інформацію» до категорії конфіденційної інформації1, яка, в свою чергу, належить до інформації з обмеженим доступом (ст. 10, 11 закону «Про інформацію»).

Основна норма, що захищає інформаційні права громадян, міститься в ч. 2. п. 1 ст. 11 закону «Про інформацію»:

«Не допускаються збирання, зберігання, використання та поширення інформації про приватне життя, а одно інформації, яка порушує особисту таємницю, сімейну таємницю, таємницю листування, телефонних переговорів, поштових, телеграфних та інших повідомлень фізичної особи без її згоди, крім як на підставі судового рішення ».

Представляється, що дана норма трактується ширше, ніж дане в законі визначення персональних даних, що, безсумнівно, забезпечує громадян додатковими гарантіями. Власне, визначення персональних даних із Закону «Про інформацію» можна назвати досить аскетичним. Для порівняння, в Модельному законі «Про персональних даних», прийнятому в жовтні 1999 року на чотирнадцятому пленарному засіданні Міжпарламентської асамблеї держав - учасниць СНГ2, в ст. 2 дається більш розгорнутий в порівнянні з законом «Про інформацію» визначення персональних даних:

1 У ст. 2 закону «Про інформацію» конфіденційна інформація визначається як «документована інформація, доступ до якої обмежується відповідно до законодавства Російської Федерації», а документована інформація в силу тієї ж статті - як «зафіксована на матеріальному носії інформація з реквізитами, що дозволяють її ідентифікувати».

2 Прийнято Постановою № 14-19 від 16 жовтня 1999 Міжпарламентської асамблеї держав - учасниць СНД

«Персональні дані - інформація (зафіксована на матеріальному носії) про конкретну людину , яка ототожнена або може бути ототожнена з ним. До персональних даних належать біографічні та пізнавальні дані, особисті характеристики, відомості про сімейний, соціальному становищі, освіті, професії, службовому і фінансове становище, стан здоров'я та інші ».

Потрібно зауважити, що це визначення сформульовано в дусі Директиви 95/46/EC Європарламенту та Європейської Ради «Про захист фізичних осіб стосовно обробки персональних даних і про вільне звернення цих даних» від 24 грудня 19951.

В інших неєвропейських країнах - в першу чергу, в США - прагнуть, навпаки, як можна більш точно і вичерпно розкрити в законі зазначену категорію данних2.

1 Ст. 2 п. (a) Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data:

«" персональні дані "означають будь-яку інформацію, пов'язану з ідентифікованим або ідентифікованим фізичною особою (" суб'єктом даних "); ідентифікованим особою є особа, яка може бути ідентифікована прямо або побічно, зокрема, за допомогою посилання на ідентифікаційний номер або на один або декілька чинників, специфічних для його фізичної, психологічної, ментальної, економічної, культурної або соціальної ідентичності ». (Тут і далі при цитуванні текстів європейських конвенцій використаний переклад з книги Захист персональних даних: Досвід правового регулювання / Упорядник і автор коментарів Є. К. Волчинская - М.: Галерія, 2001.)

У наведеному визначенні особливо цікаво вживання категорій прямо або побічно (directly or indirectly), що стосуються ступеня ідентифікації інформації з фізичною особою.

2 У законопроекті штату Нью-Йорк (New York Senate Bill 4353, внесений 11 квітня 2001), міститься наступне визначення:

«Personal Information:« Mean individually identifiable information about an individual collected online, including: (A) first and last name; (B) home or other physical address including street name and name of a city or town; (C) e-mail address; (D) telephone number ; (E) social security number; (F) any other identifier that permits the physical or online contacting of a specific individual; or (G) information concerning a child or the parents of that child that the operator collects online from the child and combines with another identifier set forth in this subdivision ».

У законі 2001 штату Аризона (House Bill 2351, an Act amending Title 44, Arizona revised statutes, by adding chapter 29 (relating to customer records) в ст. 5 наводиться вже інше розкриття терміна:

«Personal information» means any information that identifies, relates to, describes or is capable of being associated with a particular individual if it includes

У Російській Федерації в ч . 1 п. 1 ст. 11 закону «Про інформацію» міститься наступна норма:

«Переліки персональних даних, що включаються до складу федеральних інформаційних ресурсів, інформаційних ресурсів спільного ведення, інформаційних ресурсів суб'єктів Російської Федерації, інформаційних ресурсів органів місцевого самоврядування, а також одержуваних і що збираються недержавними організаціями, повинні бути закріплені на рівні федерального закону ».

1 Крім зазначеного пробілу для справжнього дослідження важливо також і те, що досі не встановлений передбачений п. 4 ст. 11 закону «Про інформацію» порядок обов'язкового ліцензування діяльності недержавних організацій і приватних осіб, пов'язаної з обробкою та наданням користувачам персональних даних, а також не прийняті норми, пов'язані з встановленням режиму захисту інформації щодо персональних даних, що відповідно з п. 1 ст. 21 має визначатися федеральним законом.

Однак у зв'язку з відсутністю на даний момент відповідного закону, дана норма породжує серйозну прогалину в законодавстві про інформатізаціі1: які дані про громадян відносити до персональних, а які - ні?

Потрібно відзначити, що в ряді нормативно-правових актів Російської Федерації з інших галузей законодавства містяться більш конкретні норми про те, що ж вважати персональними даними.

Крім цього, має сенс також враховувати, що в іншому російському законі - Федеральному законі від 4 липня 1996 року № 85-ФЗ «Про участь у міжнародному інформаційному обміні» в ч.1 ст. 8 приведена ще одна норма, важко реалізується на практиці:

«Обмежується вивезення з Російської Федерації документованої інформації, віднесеної до: державної таємниці або іншої конфіденційної інформації ...

Можливість вивезення з території Російської Федерації такий документованої інформації визначається Урядом Російської Федерації в кожному окремому випадку ».

Можна порівняти наведену норму з підходом до регулювання відповідних відносин в Модельному законі« Про персональних даних »:

« 1. Не може заборонятися або ставитися під спеціальний контроль транскордонна передача персональних даних, за винятком випадків, що створюють загрозу національній безпеці, і при незабезпеченні адекватного рівня захисту персональних даних.

4. Передача персональних даних до країн, що не забезпечують адекватний рівень захисту цих даних, може мати місце за умови: -

явно вираженої згоди суб'єкта персональних даних на цю передачу; -

необхідність передачі персональних даних для укладення та ( або) виконання договору між суб'єктом і держателем персональних даних або між тримачем і третьою стороною в інтересах суб'єкта персональних даних; -

якщо передача необхідна для захисту життєво важливих інтересів суб'єкта персональних даних; -

якщо персональні дані містяться в загальнодоступній базі персональних даних »(ст. 10. модельного закону).

 1 Федеральний Закон від 31 липня 1998 року № 146-ФЗ в ред. Федеральних Законів від 09.07.1999 № 154-ФЗ, від 02.01.2000 № 13-ФЗ, від 05.08.2000 № 118-ФЗ (ред. 24.03.2001), від 28.12.2001 № 180-ФЗ від 29.12.2001 № 190 -ФЗ. 

 Так, наприклад, у частині першій Податкового Кодексу Російської Федерації 1 в ст. 84 «Порядок постановки на облік, переобліку і зняття з обліку. Ідентифікаційний номер платника податків »перераховуються наступні персональні дані: прізвище, ім'я, по батькові; дата і місце народження; стать; адреса місця проживання; дані паспорта або іншого документа, що посвідчує особу платника податків; громадянство. 

 У новому Трудовому Кодексі Російської Федерації 1, що містить цілу главу про персональні данних2, поняття персональних даних працівника розкривається наступним чином: 

 «Персональні дані працівника - інформація, необхідна роботодавцю у зв'язку з трудовими відносинами і що стосується конкретного працівника» (ч. 1 ст. 85). 

 Правда, в наступній статті законодавець визначає іншу, відсильну, норму, замикаючи тим самим своєрідний понятійний коло: 

 «При визначенні обсягу і змісту оброблюваних персональних даних працівника роботодавець повинен керуватися Конституцією Російської Федерації, цим Кодексом та іншими федеральними законами» (п.

 2 ст. 86). 

 Стосовно до використання інформаційних технологій та мережі Інтернет в тій же статті 86 (п. 6) наводиться цікава норма: 

 «При прийнятті рішень, що зачіпають інтереси працівника, роботодавець не має права грунтуватися на персональних даних працівника, отриманих виключно в результаті їх автоматизованої обробки або електронного отримання». 

 1 Федеральний Закон від 30 грудня 2001 року № 197-ФЗ, прийнятий Державною Думою 21 грудня 2001 року. Кодекс введено в дію з 1 лютого 2002 року. 

 2 Глава 14 «Захист персональних даних» містить наступні важливі для організації інформаційної складової трудових відносин статті: стаття 85 «Поняття персональних даних працівника. Обробка персональних даних працівника », стаття 86« Загальні вимоги при обробці персональних даних працівника і гарантії їх захисту », стаття 87« Зберігання і використання персональних даних працівників », стаття 88« Передача персональних даних працівника », стаття 89« Права працівників з метою забезпечення захисту персональних даних, що зберігаються в роботодавця », стаття 90« Відповідальність за порушення норм, що регулюють обробку і захист персональних даних працівника ». 

 Якщо взяти до уваги той факт, що персональні дані працівника роботодавець отримує безпосередньо у останнього або, у разі отримання від третіх осіб, з попереднім повідомленням і з письмової згоди працівника, а також те, що роботодавець повинен повідомляти працівникові про цілі, передбачуваних джерелах і способи отримання персональних даних (п. 3 ст. 86), то дана норма вказує на шляхи вирішення проблеми регулювання використання працівниками інформаційних технологій (у тому числі електронної пошти і ресурсів мережі Інтернет) в особистих цілях на робочому месте1. 

 У ряді інших законів Російської Федерації, а також підзаконних актах (що є спірним з позицій норми п. 1 ст. 11 закону «Про інформацію») також містяться норми, які відносять ту чи іншу інформацію до персональних данним2. 

 Таким чином, у зв'язку з відсутністю предметних норм, які розкривають склад відомостей, що відносяться до персональних даних, існують різні варіанти підходів до питання про те, які збираються і обробляються дані при роботі в мережі Інтернет охороняються законом, а які - ні. 

 Можна трактувати дане питання вузько, виходячи з визначення поняття персональних даних в законі «Про інформацію», де наводиться такий додатковий істотний критерій як ідентифікація особистості, що дозволяє відносити чи не відносити певну інформацію до персональних даних. 

 1 У США даної проблеми - дотриманню privacy на робочих, а також у громадських місцях (таких, як бібліотеки та навчальні заклади) заслужено приділяється пильна увага, а її вирішення присвячено кілька законодавчих актів. Наприклад, закон 2001 штату Делавер (HB. 75, підписаний губернатором штату 10 липня 2001) вимагає від роботодавця попереднього повідомлення працівників про відстеження телефонних дзвінків, електронної пошти і доступу в мережу Інтернет; федеральний закон Electronic Communications Privacy Act (ECPA) 2000 надає роботодавцям право за певних умов присікати електронні комунікації на робочих місцях і з використанням обладнання роботодавця. 

 2 У п. 1 ст. 12 Федерального Закону від 15 листопада 1997 року № 143-ФЗ «Про акти громадянського стану» вказується, що «відомості, що стали відомими працівникові органу реєстрації актів цивільного стану у зв'язку з державною реєстрацією акту цивільного стану, є персональними даними, відносяться до категорії конфіденційної інформації , мають обмежений доступ і розголошенню не підлягають ». 

 У п. 1 «Переліку відомостей конфіденційного характеру», затвердженому Указом Президента Російської Федерації від 6 березня 1997 р. № 188, з режиму охорони конфіденційних даних логічно по суті виводяться відомості, які підлягають поширенню в засобах масової інформації у встановлених федеральними законами випадках. 

 Однак, можливо, виходячи з об'єктивної складності поділу інформації на ідентифікаційну особистість або не ідентифікує (ідентифікує не повною мірою), враховуючи норму ч. 2. п. 1 ст. 11 закону «Про інформацію» та спираючись на конституційний принцип недоторканності приватного життя, запропонувати наступний спірна теза: вся інформація, яка виникає в процесі використання громадянином інформаційних систем та ресурсів і для якої в останнього відсутнє пряме волевиявлення на її поширення, може бути віднесена до персональних данним1. 

 З розглянутого переліку одержуваних про користувача відомостей IP-адресу (і динамічний, і статіческій2), відомості про встановлене програмне забезпечення і режимах роботи комп'ютера ідентифікують, в першу чергу, використовувані інформаційні технології. Без наявності додаткової інформації (наприклад, про те, що певне програмне забезпечення зареєстровано за певною користувачем) зробити достовірний висновок про те, що ці дані ідентифікують користувача, невозможно3. Тому віднести дані відомості до персональних даних не представляється можливим і, головне, потрібне. До речі, якби це було зроблено, то це могло б привести до серйозних (або навіть катастрофічним) змінам - довелося б переглядати більшість стандартів і протоколів обміну даних в мережі Інтернет. 

 1 Докладніше з зазначеним підходом до розгляду інституту персональних даних можна ознайомитися в роботі Л. А. Сергієнко, І. Д. Ті-Новицької «Суб'єктивні права в інформаційній сфері» (Проблеми інформатизації. 2000, № 3), де, зокрема, говориться про те, що має право на існування «широке тлумачення персональних даних, яке включає не тільки відомості про приватне життя, а й інформацію про особливості, що визначають фізичну особу в суспільному житті, про фактори, специфічних для його фізичної, психологічної, ментальної, економічної, культурної або соціальної ідентичності »(с. 25). 

 2 Статична IP-адреса при роботі в мережі Інтернет присвоюється користувачу (точніше, сеансу його соедіненіяю з провайдером) за угодою з останнім і залишається незмінним для всіх сеансів підключення до Мережі через обладнання даного провайдера. Наприклад, наявність статичної IP-адреси потрібно для роботи з ресурсами з обмеженим доступом, коли IP-адреса служить додатковим ідентифікатором користувача і без його наявності доступ до ресурсу виявляється закритий. 

 3 Такі дані в дослідженнях в області privacy в США отримали назву partially personalized data. 

 Інформація, що отримується за допомогою технології cookies в ряді випадків може бути віднесена до персональних даних (наприклад, в тому випадку, коли з її допомогою зберігаються паролі та логіни для доступу до інформаційних ресурсів і сервісів), а в ряді випадків - ні (наприклад, коли в файлах cookies записуються тільки адреси сайтів, які відвідав користувач). 

 Однозначно можна укласти, що до персональних даних необхідно віднести електронну почту1 і самостійно вводяться користувачем відомості, що дозволяють його ідентифікувати. Можна погодитися з авторами видання «Інтернет і гласність», що обмежувальний характер розповсюдженням електронних адрес виникає з необхідності дотримання вимог щодо захисту персональних данних2. 

 Дуже важлива інформація, що збирається про користувача провайдером. Коли провайдер укладає з користувачем договір, то зазвичай йому стають відомі прізвище та ім'я користувача, його паспортні дані, місце прожіванія3, логін і пароль доступу до послуг та сервісів провайдера; нерідко (при установці АОНів) провайдер володіє даними про номер телефону, з якого здійснюється доступ. Крім цієї інформації, у провайдера скупчуються дані про те, з якими ресурсами і коли працював користувач. Весь цей комплекс даних однозначно відноситься до приватного життя користувача і включає в себе персональні дані. Наявність останніх дозволяє ідентифікувати з користувачем інформацію про його роботу в мережі Інтернет, що дає можливість, наприклад, створити докладний портрет інформаційних пристрастей і переваг особистості. 

 1 У кількох країнах світу електронна пошта законодавчо включена до складу персональних даних. Наприклад, це сталося в Аргентині з листопада 2001 року - див Argentina Peeks Into E-Mail Laws / / Wired News, http://www.wired.com/news/politics/0, 1283,48291,00. Html. 

 2 Див Волчинская Е, Терещенко Л., Якушев М. Інтернет і гласність. М.: Видавництво «Галерія», 1999. С. 99. 

 3 Природно, при обслуговуванні користувачів, що скористалися публічною офертою провайдера і купили картки доступу в Інтернет, дана інформація провайдеру, в загальному випадку, невідома. 

 Таким чином, наявність в масиві даних про користувача «безперечних» персональних даних фактично робить весь масив персональними даними, тому провайдер зобов'язаний вживати заходів щодо захисту всіх наявних у його розпорядженні відомостей про користувача. 

 У підсумку можна зробити висновок, що теза про віднесення усіх зібраних відомостей про користувача до персональних даних, представляється надмірно сміливим. Проте, їх можна віднести до відомостей, які в певний момент можуть стати персональними даними. Т. е. вони хоч і не мають важливого статусу, але охороняються законом з того моменту, коли з'являються підстави пов'язати їх з конкретним або передбачуваним фізичною особою, що породжує вимогу про те, щоб їх збирання, зберігання, використання та поширення без згоди відповідної особи були заборонені. 

 Як може бути виражене зазначена згода? По-перше, в явній формі - наприклад, в результаті відповіді на запит на сторінках сайту. Такий прийом дуже часто використовується при всіляких шахрайствах з використанням мережі Інтернет1, коли довірливі користувачі, підкорені гарним дизайном і помітними брендами, не сумніваючись, вводять необхідні відомості, аж до номерів кредитних карт. 

 По-друге, що особливо важливо для технологій мережі Інтернет, згода може бути виражена в конклюдентной формі, тобто коли самі дії, здійснювані користувачем, дозволяють зробити висновок, що він дав згоду на використання власних персональних даних. Наприклад, якщо користувач при обговоренні того чи іншого питання опублікував в мережі Інтернет свою адресу електронної пошти на який-небудь дискусійною дошці оголошень, то в результаті даної дії він надав можливість учасникам дискусії і просто читачам дошки оголошень використовувати цю адресу. 

 1 Див Лист Федеральної Комісії з ринку цінних паперів від 20 січня 2000 р. № ІБ-02/229 «Про можливі шахрайських схемах при торгівлі цінними паперами з використанням мережі Інтернет», інформація в якому підготовлена ??за результатами аналізу типових шахрайських дій, виявлених Комісією з цінних паперів і бірж США. 

 У наведеному прикладі видається важливим питання визначення меж використання опублікованого адреси електронної пошти. Можна припустити, що сама публікація електронної адреси не передбачає дозволу третім особам, зісканували-шим даний адресу з сторінок дошки оголошень за допомогою спеціальних програм, розсилати на дану адресу рекламні повідомлення. 

 Більш строго говорити про те, дозволяв чи власник пошти використовувати свою адресу в цілях, відмінних від цілей дискусії, можна тільки за наявності попередження про межах використання адреси, або при аналізі умов використання інформації, опублікованої на дошці оголошень, які повинні бути розроблені і опубліковані її власником. 

 Слід також зауважити, що наявність або відсутність конклюдент-ного згоди користувача залежить від трудноопределяемого для власників інформаційних ресурсів, провайдерів і третіх осіб рівня обізнаності користувача про характер роботи використовуваного апаратно-програмного забезпечення. Наприклад, як було показано вище, від користувача залежить, чи використовується при його роботі в мережі технологія cookies чи ні і в якій мірі. Проте, можна припустити, що просте наявність даної можливості у користувача не дає підстав посилатися на його волевиявлення, а власникам ресурсів і систем доцільно в явній формі вказувати і / або запитувати згоду користувача на збір і використання тих чи інших відомостей про користувача і його апаратно-програмному забезпеченні. Звичайно, частота і характер запитів про згоду користувача повинні вибиратися розумно і не полягати в абсурдному появі форм запитів при завантаженні кожного нового файлу. Тут головним вимогою може бути сумлінність, керуючись якою, власник ресурсу або системи заздалегідь попереджає про свою політику щодо використання даних про користувачів. 

 Повертаючись до питання визначення складу персональних даних та режиму їх використання, потрібно брати до уваги ряд інших актуальних міркувань. 

 По-перше, при аналізі проблеми використання персональних даних в мережі Інтернет та захисту права на недоторканність приватного життя, потрібно приймати в розрахунок, що повсюдно розповсюджене і використовуване програмне забезпечення не гарантує того рівня інформаційного захисту, при якому користувач інформований про всіх істотних обставин роботи на комп'ютері. Тому дуже часто мають місце ситуації, коли в силу наявності т. н. «Дірок» у інформаційному захисті відомості про користувача збираються шляхом несанкціонованого доступу до його комп'ютерній системі. 

 І по-друге, при формуванні великих масивів даних, що складаються з відомостей різного типу (наприклад, IP-адреси та cookies), їх спеціальною статистичній обробці, а також сполученні з відомостями, які отримуються з інших джерел, що безпосередньо не відносяться до мережі Інтернет, можливо припустити виникнення ситуації переходу кількості в якість, тобто створення умов, коли окремі елементи масивів даних не дозволяють однозначно ідентифікувати користувача, але вся сукупність оброблених даних дає таку можливість. 

 Прикладом переходу від правомірного до неправомірного може служити ситуація, яка мала місце в 1999-2000 роках з технологією американської компанії DoubleClick, яка, на думку відомої громадської організації Electronic Privacy Information Center (EPIC) 1, організувала систему, порушують privacy споживачів в мережі Інтернет. 

 1 Сайт в мережі Інтернет: http://wwwepic.org/. 

 Згадана DoubleClick створила спеціальну рекламну мережу DoubleClick Network і залучила до участі в ній в ряд відомих ресурсів третіх осіб (наприклад, AltaVista, Macromedia, US News Online), на яких публікувалися рекламні оголошення зазначеної мережі. При першому відвідуванні користувачем ресурсів зазначеної мережі йому надавався спеціальний ідентифікаційний номер, який записувався у файли cookies на комп'ютері користувача. При подальшому відвідуванні користувачем ресурсів програмне забезпечення DoubleClick зчитувальні та записувальні у власний масив даних зазначений унікальний номер. Природно, дана технологія спиралася на те, що користувачі не були обізнані про запис і зберіганні унікального номера на власних комп'ютерах. Використовуючи даний номер, DoubleClick за допомогою власної технології DART надавала рекламодавцям можливість представляти рекламну інформацію користувачам з урахуванням відомостей, отриманих в результаті обробки комплексних даних про відвідування тих чи інших веб-сайтів, де використовувалася технологія DART (відомості: час і дні відвідування, типи доменів, серверів і використовуваного програмного забезпечення і т. д.), і реакції (перехід по рекламному посиланню) користувача на опубліковану рекламу. 

 За твердженням EPIC, DoubleClick в грудні 1998 року обробляв інформацію про 48 мільйонів користувачів, що надавало можливість підвищення ефективності рекламної діяльності кільком тисячам рекламодавців. При всьому цьому компанія DoubleClick стверджувала, що всі користувачі, які стикалися із застосуванням названої технології, залишалися анонімними, про що також були обізнані і партнери компанії по організованій мережі. У середині 1999 року DoubleClick уклала угоду з відомою в США компанією Abacus Direct Corporation, що спеціалізується на маркетингових дослідженнях і аналізі споживчого попиту, в тому числі і в мережі Інтернет. Стосовно до останньої цією компанією з 1998 року велася спеціалізована база, що містить дані, що ідентифікують та відображають активність користувачів в мережі Інтернет. Подібна комбінація бази даних і технології збору та обробки даних дозволяла, на думку експертів, з великим ступенем вірогідності ідентифікувати конкретних користувачів мережі Інтернет. 

 Усе вищезгадане, на думку EPIC1, порушувало інформаційні права користувачів (privacy), однак її обіг в лютому 2000 року в Federal Trade Commission (США) не принесло задовільних результатов2. 

 Наведені вище міркування про склад персональних даних деяким чином підтверджуються тими рішеннями, які пропонуються в ряді проектів Федерального Закону «Про зв'язок», що є одним з базових для регулювання відносин, що складаються в мережі Інтернет, а також у ряді інших документів. 

 1 EPIC посилалася на норми Section 5 (a) Federal Trade Commission Act, 15 USC § 45 (a), які забороняють недобросовісні методи ведення комерційної діяльності. 

 2 Докладніше див http://wwwiepic.org/privacy/doubletrouble/default.html. 

 3 Законопроект опублікований в мережі Інтернет за адресою http:// conf.svyazinvest.ru. 

 У проекті, запропонованому Міністерством Російської Федерації по зв'язку та інформатизації та проходить зараз стадію об-сужденія3, в ст. 63 пропонується охороняти персональні дані користувачів послуг зв'язку таким чином: 

 «1. Оператори зв'язку зобов'язані вживати заходів щодо забезпечення конфіденційності даних про абонентів, персональних даних користувачів - фізичних осіб і відомостях про які надають їм послуги. 

 До персональних даних користувача зв'язку належать прізвище, ім'я, по батькові, адресу користувача (абонента) або адреса установки кінцевого обладнання (абонентського пристрою), псевдонім, абонентські номери та інші дані, що дозволяють однозначно ідентифікувати користувача (абонента) або його кінцевий пристрій (абонентський пристрій) , інформація з баз даних автоматизованих систем розрахунку за послуги зв'язку. 

 2. Надання третім особам перерахованих в п. 1 цієї статті відомостей допускається тільки за згодою користувача (абонента), а також у випадках, встановлених федеральними законами ». 

 Цікаво, що в даному законопроекті дається розширене тлумачення персональних даних: як таких наводяться й відомості, що дозволяють однозначно ідентифікувати абонентський пристрій, за допомогою якого користувач (абонент) отримує послуги зв'язку. Автори законопроекту мають рацію: у разі, коли дані про абонентському пристрої однозначно пов'язані з даними про користувача (наприклад, при використанні фізичною особою за договором з провайдером виділеної лінії з фіксованим IP-адресою, коли по одному з параметрів - імені та прізвища користувача, телефону, логіном і паролем - можна отримати всі інші), їх слід відносити до персональних і поширювати на них відповідний режим захисту. Проте абсолютно необов'язково, що таке формулювання у всіх інших ситуаціях має право на існування, що вона дасть якісь додаткові гарантії громадянам, а також не створить додаткових організаційно-технічних проблем операторам зв'язку. 

 1 Телекомунікації і право: питання стратегії / Под ред. Ю. М. Батуріна. М.: Центр «Право і ЗМІ», 2000. 324 с. (Журналістика право; Вип. 26). Адреса законопроекту в мережі Інтернет: http://www.medialaw.ru/ publications/zip/71-72/project.htm. 

 В іншому проекті - проект Федерального Закону РФ «Про внесення змін і доповнень до федерального закону" Про зв'язок "(ФЗ" Про телекомунікації ")», розробленому робочою групою під керівництвом Ю. М. Батуріна1 пропонується змінити формулювання фрагмента статті «Таємниця зв'язку» 1 і викласти одну з містяться в ній норм з урахуванням розкриття переліку відомостей, що є персональними даними: 

 «Отримання у оператора зв'язку персональних даних користувачів мережі (прізвище, ім'я та по батькові, адреса, псевдонім, ідентифікатори засобів зв'язку) та відомостей про надані їм послуги допускається тільки за згодою користувача і у випадках, передбачених ст. 17 цього Закону ». 

 В одному з перших російський законопроектів про мережі Інтернет, робоча версія якого була розроблена фахівцями другого і третього складу Комітету з інформаційної політики Державної Думи Російської Федерації у 2000 році і мала назву «Про регулювання російського сегмента мережі Інтернет (Про використання глобальних загальнодоступних інформаційно-телекомунікаційних мереж , Про обмін документами в російському сегменті мережі Інтернет) », також містилося кілька норм, що регулюють збір і використання інформації персонального характеру. Зокрема, в ст. 7 пропонувалася правильна формально, але важкореалізоване норма: 

 1 У чинному Федеральному Законі від 16 лютого 1995 року № 15-ФЗ «Про зв'язок» (в ред. Федеральних Законів від 06.01.99 № 8-ФЗ, від 17.07.99 № 176-ФЗ) є статтею 32, а в прелагается проекті - статтею 48. 

 2 Цікаві прелагается в п. 4 ст. 8 законопроекту межі використання персональних даних провайдером після закінчення обслуговування користувача: 

 «Постачальник телекомунікаційної послуги, поштової послуги, інформаційної послуги з метою забезпечення платежу отримувачем послуги може використовувати по закінченню терміну надання послуги наступну інформацію: -

 дані про технічні засоби одержувача послуги; -

 адреса одержувача послуги, включаючи його фізичну адресу та електронну адресу (номер електронної поштової скриньки); -

 тип, час початку та тривалість дій з надання послуги; -

 іншу інформацію, що відноситься до платежів за надану послугу. 

 «Обробка та використання персональних даних одержувача товару (послуги) для цілей реклами, маркетингових досліджень або створення технічних засобів з надання послуги допускається тільки у разі письмової згоди суб'єкта персональних даних» 2. 

 За законом «Про інформацію» на осіб, які здійснюють збір інформації, в силу ст. 12 і 14 накладаються певні обов'язки: 

 «Порядок накопичення та обробки документованої інформації з обмеженим доступом, правила її захисту та порядок доступу до неї визначаються органами державної влади, відповідальними за певні вид і масиви інформації, відповідно до їх компетенції або безпосередньо її власником відповідно до законодавства» (п. 5 ст. 12). 

 «Громадяни та організації мають право на доступ до документованої інформації про них, на уточнення цієї інформації з метою забезпечення її повноти та достовірності, мають право знати, хто і в яких цілях використовує або використовував цю інформацію. Обмеження доступу громадян і організацій до інформації про них припустиме лише на підставах, передбачених федеральними законами »(п. 1 ст. 14). 

 «Власник документованої інформації про громадян зобов'язаний надати інформацію безкоштовно на вимогу тих осіб, яких вона стосується. Обмеження можливі лише у випадках, передбачених законодавством Російської Федерації »(п. 2 ст. 14). 

 «Відмова власника інформаційних ресурсів суб'єкту в доступі до інформації про нього може бути оскаржена в судовому порядку» 1 (п. 4 ст. 14). 

 1 Дана дія може містити ознаки складу злочину, передбаченого ст. 140 Кримінального Кодексу Російської Федерації, в якій вказується, що: 

 «Неправомірна відмова посадової особи у наданні зібраних у встановленому порядку документів і матеріалів, безпосередньо зачіпають права і свободи громадянина, або надання громадянину неповної або завідомо неправдивої інформації, якщо ці діяння заподіяли шкоду правам і законним інтересам громадян, - караються штрафом у розмірі від двохсот до п'ятисот мінімальних розмірів оплати праці або в розмірі заробітної плати або іншого доходу засудженого за період від двох до п'яти місяців або позбавленням права обіймати певні посади чи займатися певною діяльністю на строк від двох до п'яти років ». 

 З наведених норм випливає важливий практичний висновок: особам, які здійснюють збір і обробку персональних даних та відомостей, що містять інформацію про користувачів, необхідно максимально коректно перед початком процесів збору та обробки інформації визначити або в загальних двосторонніх угодах з користувачами (наприклад, в договорах провайдера з його користувачами), або в спеціальних угодах з використання тих чи інших ресурсів і систем у мережі Інтернет істотні умови організації предметних інформаційних процесів, а також права та обов'язки сторін одна перед одною і третіми особами. 

 « Попередня  Наступна »
 = Перейти до змісту підручника =
 Інформація, релевантна "Законність збору інформації про користувачів"
  1.  Правововой режим електронних документів в електронній торгівлі
      законопроекті приділяється пильна увага правовому режиму електронних документів в електронній торгівлі (гл. 2 законопроекту). У цій главі пропонуються норми, що відносяться до правового визнання електронних документів, письмовій формі угоди, що укладається шляхом обміну електронними документами, подання електронних документів як судових доказів; вводяться поняття першотвору і
  2.  Модельний закон країн СНД «Про персональних даних»
      законі країн СНД «Про персональних даних» 1: «1. Персональні дані повинні бути отримані і оброблені законним чином на підставі чинного законодавства. 1 Також в зазначеному модельному законі докладно розкривається правовий режим персональних даних (ст. 4), наводяться основні форми державного регулювання дій утримувачів персональних даних, а саме ліцензування дій
  3.  Відповідальність за порушення режиму захисту персональних даних
      законом порядку збору, зберігання, використання або поширення інформації про громадян (персональних даних) (ст. 13.11 Кодексу) та в разі розголошення інформації, доступ до якої обмежено федеральним законом (за винятком випадків, коли розголошення такої інформації тягне за собою кримінальну відповідальність), особою, що отримала доступ до такої інформації у зв'язку з виконанням службових або
  4.  ПІДТРИМКИ ІНФОРМАЦІЙНОГО ПРОЕКТУ В МЕРЕЖІ ІНТЕРНЕТ
      законів, що регулюють використання мережі Інтернет; не можна назвати обширної існуючу судову практику, складається у зв'язку з використанням мережі; поки низька правозастосовна активність органів державної влади у зазначеній сфері; досить мало ініціатив у сфері саморегуляції. Проте, за минулий 2001 різко активізувався нормотворчий процес (див. розділ «Огляд
  5.  КОРОТКИЙ ОГЛЯД ЗАКОНОДАВСТВА УКРАЇНИ В ОБЛАСТІ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ І ТЕЛЕКОМУНІКАЦІЙ ДО 2001 РОКУ
      законодавству в області інформаційних технологій і був написаний у 2001 році На щастя чи на жаль, що відбулися з зазначеного моменту зміни в названій галузі законодавства істотними назвати не можна - за 2001 рік і початок 2002 року були прийняті і вступили в силу лише декілька актів, що не вплинули на систему галузі. Вони описані в розділі, присвяченому огляду ініціатив у сфері
  6.  РОСІЙСЬКІ ІНІЦІАТИВИ У СФЕРІ саморегулювання
      законів) користування мережею Інтернет не встановлено. Існують, однак, загальноприйняті норми роботи в мережі Інтернет, спрямовані на те, щоб діяльність кожного користувача мережі не заважала роботі інших користувачів. Фундаментальне положення цих норм таке: правила використання будь-яких ресурсів мережі Інтернет (від поштової скриньки до каналу зв'язку) визначають власники цих ресурсів і лише вони.
  7.  Позичальник
      законом або іншими правовими актами. При цьому, якщо умова договору передбачено диспозитивної нормою, сторони можуть своєю угодою виключити її застосування або встановити умову, відмінну від міститься в ній. При відсутності такої угоди умови договору визначаються диспозитивною нормою. Якщо ж умова договору не визначено сторонами або диспозитивної нормою, то повинні враховуватися
  8.  § 2. Облік, реєстрації, експертиза нормативних правових актів у діяльності органів Міністерст ва юстиції Російської Федерації
      законодавчою системою, її ієрархічними, іншими зв'язками, скасування застарілих актів, поточне і стратегічне вдосконалення законодавчої системи вимагають постійного впорядкування, експертної оцінки всього комплексу діють в Російській Федерації нормативних правових актів. Досвід законодавчої і правозастосовчої діяльності в Російській Федерації та зарубіжних країнах показує,
  9.  Глава IV. СПІВВІДНОШЕННЯ ФЕДЕРАЛЬНИХ І РЕГІОНАЛЬНИХ РОЗПОЧАВ У СИСТЕМІ ЗАКОНОДАВСТВА УКРАЇНИ
      законодавства характеризується вкрай складними і суперечливими процесами. Це пов'язано з проблемними питаннями внутрішнього облаштування Російської Федерації, створенням ринкової економіки, формуванням нової законодавчої бази. Сучасна система російського законодавства, як уже зазначалося, виступає у вигляді трьох структур: вертикальної, горизонтальної (галузевої) і федеративної.
  10.  § 14. Функція регулювання правил бухгалтерського обліку та звітності для банківської системи Російської Федерації
      закону. Бухгалтерський облік. У зарубіжних країнах законодавство про бухгалтерський облік входить складовою частиною в різні галузі права. Наприклад, у Німеччині і у Франції бухгалтерський облік передбачений торговими кодексами. В Італії ці питання регулюються Цивільним кодексом * (281). У Росії бухгалтерський облік регулюється адміністративним правом. Однак, що
  11.  § 1. Фінанси, бухгалтерський облік та оподаткування військових організацій242
      законі «Про оборону» від 31 травня 1996 р. № 61-ФЗ (в редакції Федерального закону від 30 грудня 1999 р. № 223-ФЗ) визначено, що фінансування витрат на оборону здійснюється з коштів федерального бюджету шляхом асигнування коштів Міністерству оборони Російської Федерації та іншим федеральним органам виконавчої влади, що забезпечує реалізацію заходів у галузі оборони. Таким
  12.  § 5. Міжнародне морське право
      законну діяльність неприпустимо ніяке втручання будь-яких органів чи органів влади інших держав; 4) принцип ненападу. У силу цього принципу військові кораблі при подіях в Світовому океані не повинні вдаватися до зброї, якщо немає акту збройної агресії або навмисного нападу. У той же час при умисному використанні супротивною стороною зброї кожен військовий корабель
  13.  § 6. Міжнародне повітряне і космічне право
      законодавство, що регулює діяльність авіації та пов'язані з цим міжнародні правовідносини. У Російській Федерації основним законодавчим актом такого роду є Повітряний кодекс Російської Федерації. У Повітряному кодексі, зокрема, встановлюється, що Російська Федерація володіє суверенітетом щодо повітряного простору, розташованого над її територією (водної та
  14.  § 9. Інформаційне забезпечення виборів і референдуму. Передвиборна агітація
      законодавством на проведення передвиборної агітації) інформації агітаційного характеру, регулюються нормами виборчого права та інших галузей права, зокрема інформаційного. Таким чином, при проведенні передвиборної агітації учасники виборів набирають виборчі інформаційні правовідносини. Незважаючи на яскраво виражений політичний характер, передвиборна агітація,
  15.  2.1. Історичний розвиток завдань і форм управління
      законодавчу, засвідчену "Руською Правдою"; військову, суть якої полягала у захисті кордонів держави і керування дружиною; - судово-адміністративну, що виразилася у відправленні князем суду, встановленні покарання (стягування штрафу), встановленні "цвинтарів і данини". Становлення князівської адміністрації проходило на тлі перших адміністративних і правових реформ. Так, в Х столітті
енциклопедія  овочева  вершковий  риба  пунш