Основные положения Организации по экономическому сотрудничеству и развитию (ОЭСР) о защите неприкосновенности частной жизни и международных обменов персональными данными от 23.09.1980
Введение
Развитие автоматизированных систем обработки данных, позволяющих в считанные секунды передавать огромные объемы данных через национальные границы и даже через континенты, поставило на повестку дня вопрос о защите неприкосновенности частной жизни применительно к персональным данным. Механизмы защиты неприкосновенности частной жизни уже введены либо в ближайшее время будут введены в действие примерно в половине стран — членов ОЭСР (Австрия, Канада, Дания, Франция, Германия, Люксембург, Норвегия, Швеция и США уже приняли соответствующие законы; Бельгия, Исландия, Нидерланды, Испания и Швейцария подготовили законопроекты), что позволит противостоять таким нарушениям основных прав человека, как незаконное хранение персональных данных, хранение неточных персональных данных, а также несанкционированное использование или опубликование таких данных.
С другой стороны, существует опасность того, что расхождения в национальных законодательствах могут помешать свободному обмену персональными данными между странами; объемы передачи этих данных в последние годы существенно возросли и будут продолжать увеличиваться по мере повсеместного внедрения новых компьютерных и телекоммуникационных технологий. Ограничение этих потоков могут вызвать серьезные проблемы в важных секторах экономики — в частности, в банковском деле и страховании.
В связи с этим страны — члены ОЭСР сочли необходимым разработать Основные положения, которые могли бы помочь унифицировать национальные законы о неприкосновенности частной жизни и, обеспечивая соблюдение соответствующих прав человека, вместе с тем не допустили бы блокирования международных обменов данными. Страны — члены ОЭСР достигли консенсуса по основным принципам, которые должны быть отражены в уже действующих национальных законодательствах либо составить базу для законов, которые будут приняты в странах, где их до сих пор не было.
Основные положения, принятые в форме рекомендаций Совета ОЭСР, были разработаны группой правительственных экспертов, возглавляемой достопочтенным судьей М. Д. Кирби, председателем австралийской Комиссии по реформированию судебной системы. Рекомендации были приняты и вступили в силу 23 сентября 1980 г. К ним прилагается пояснительный меморандум, в котором содержится информация о ходе дискуссии и аргументация в пользу принятия тех или иных формулировок.
Рекомендации Совета, касающиеся основных положений о защите неприкосновенности частной жизни и международных обменов персональными данными
23 сентября 1980 г.
Совет ОЭСР,
руководствуясь статьями 1©, 3(a) и 5(b) Конвенции об Организации по экономическому сотрудничеству и развитию от 14 декабря 1960 г.,
учитывая, что, несмотря на возможные различия в национальных законах и направлениях политики, страны-члены в равной степени заинтересованы в защите неприкосновенности частной жизни и индивидуальных свобод, а также в нахождении баланса между такими важными, но противоречащими друг другу ценностями, как неприкосновенность частной жизни и свобода обменов информацией;
что автоматизированные системы обработки данных и международные обмены персональными данными создают новые формы отношений между странами и требуют разработки совместимых между собой правил и практических методов работы;
что международные обмены персональными данными способствуют экономическому и социальному развитию;
что внутренние законы о защите неприкосновенности частной жизни и международных обменов персональными данными могут затруднять эти международные обмены;
имея намерение развивать свободные обмены информацией между странами-членами и избегать необоснованного возведения препятствий на пути развития экономических и социальных отношений между странами-членами,
рекомендует странам-членам:
1. учитывать в своих внутренних законодательствах принципы защиты неприкосновенности частной жизни и индивидуальных свобод, изложенные в Основным положениях, содержащихся в Приложении к настоящим Рекомендациям, которое является неотъемлемой частью упомянутых Рекомендаций;
2. пытаться избегать возведения - во имя защиты неприкосновенности частной жизни — необоснованных препятствий на пути международных обменов персональными данными;
3. сотрудничать в реализации Основных положений, изложенных в Приложении;
4. как можно скорее договориться о разработке конкретных процедур для проведения консультаций и развития сотрудничества в целях практического исполнения настоящих Основных положений.
Приложение к Рекомендациям Совета ОЭСР
от 23 сентября 1980 г.
Основные положения о защите неприкосновенности частной жизни и международных обменов персональными данными
Часть I. Общие положения
Определения
1. В целях настоящих Основных положений:
a) «распорядитель данных» означает лицо, которое в соответствии с внутренним законодательством полномочно принимать решения о содержании и использовании персональных данных независимо от того, осуществляется ли сбор, хранение, обработка и распространение таких данных самим указанным лицом или действующим от его имени агентом;
б) «персональные данные» означают любую информацию, относящуюся к индивидууму («субъекту данных»), чья личность либо известна, либо может быть установлена;
в) «международные обмены персональными данными» означают передачу персональных данных через национальные границы.
Масштаб применения Основных положений
2. Настоящие Основные положения применяются к персональным данным как в государственном, так и в частном секторе, которые либо в связи с процедурой их обработки, либо в связи с их характером или контекстом их использования несут в себе угрозу нарушения неприкосновенности частной жизни и индивидуальных свобод.
3. Настоящие Основные положения не следует толковать как документ, создающий препятствия для:
a) применения к различным категориям персональных данных различных охранительных мер в зависимости от их характера либо контекста, в котором эти данные собираются, хранятся, обрабатываются или распространяются;
б) исключения из сферы применения настоящих Основных положений персональных данных, которые явным образом не несут в себе какой бы то ни было угрозы для неприкосновенности частной жизни и индивидуальных свобод;
в) применения настоящих Основных положений только к персональным данным, подвергающимся автоматизированной обработке.
4. Исключения из Принципов, записанных в Частях II и III настоящих Основных положений, в том числе относящихся к национальному суверенитету, национальной безопасности и государственной политике («государственному порядку»), должны быть:
a) как можно менее многочисленны;
б) доведены до сведения общественности.
5. В странах с федеративным устройством реализация настоящих Основных положений может быть затруднена разделением властных полномочий внутри Федерации.
6. Настоящие Основные положения следует считать минимальным набором стандартов, наряду с которым могут применяться дополнительные меры защиты неприкосновенности частной жизни и индивидуальных свобод.
Часть II. Основные принципы применения на национальном уровне
Принцип ограничения объема собираемых данных
7. Объем собираемых персональных данных должен иметь пределы; все эти данные должны быть получены законным и честным образом — если возможно, то с ведома или согласия субъекта данных.
Принцип качества данных
8. Персональные данные должны соответствовать целям, в которых они будут использоваться; в той мере, в которой это необходимо в соответствии с упомянутыми целями, персональные данные должны быть точными, полными и регулярно обновляемыми.
Принцип конкретизации целей
9. Цели, в которых собираются персональные данные, должны быть конкретизированы не позднее момента сбора указанных данных, а их последующее использование должно ограничиваться достижением упомянутых либо сходных (совместимых) целей, которые должны указываться каждый раз, когда эти цели пересматриваются.
Принцип ограничений на использование данных
10. Персональные данные не должны разглашаться, предоставляться в пользование или иным образом использоваться в иных целях, чем те, что перечислены в пункте 9, за исключением случаев, когда:
a) субъект данных дает на то свое согласие;
б) это разрешено законом.
Принцип обеспечения безопасности
11. Персональные данные должны быть обеспечены должными механизмами защиты от рисков, связанных с потерей, несанкционированным доступом, уничтожением, использованием, изменением или разглашением данных.
Принцип открытости
12. Процесс развития, а также практика и политика в отношении персональных данных должны осуществляться в рамках общей политики открытости. В постоянной готовности должны быть средства для установления факта наличия и характера персональных данных, основных целей их использования, а также личности и обычного местонахождения распорядителя данных.
Принцип индивидуального участия
13. Индивидуум должен иметь право:
а) получать от распорядителя данных либо иным образом, подтверждения того, имеются ли у распорядителя данных персональные данные, относящиеся к упомянутому индивидууму;
б) получать относящиеся к нему персональные данные:
в разумные сроки;
если взимается плата, то по тарифу, не являющемуся чрезмерно высоким;
в рамках разумной процедуры;
в удобной для понимания форме;
в) в случае отказа от удовлетворения заявки, не предоставление информации, поданной в соответствии с пунктами (а) и (б), получать разъяснения о мотивах отказа и опротестовывать такой отказ;
г) опротестовывать относящиеся к нему данные; в случае удовлетворения протеста требовать того, чтобы таковые данные были уничтожены, исправлены или дополнены.
Принцип ответственности
14. Распорядитель данных должен нести ответственность за принятие мер, обеспечивающих соблюдение вышеперечисленных принципов.
Часть III. Основные принципы применения на международном уровне:
Свобода обменов и законные ограничения
15. Страны-члены должны учитывать возможные последствия, которые использование персональных данных внутри страны и их реэкспорт могут иметь для других стран-членов.
16. Страны-члены должны принимать разумные и должные меры к обеспечению того, чтобы международные обмены персональными данными, в том числе их транзит через территорию каждой страны-члена, были непрерывными и безопасными.
17. Каждой из стран-членов следует воздерживаться от введения ограничений на обмены персональными данными между собой и другой страной-членом, за исключением случаев, когда последняя еще не начала соблюдать большинство пунктов настоящих Основных положений, а также под угрозой того, что реэкспорт таких данных может привести к нарушению действующих в первой стране внутренних законов о неприкосновенности частной жизни. Страна-член может также вводить ограничения в отношении тех категорий персональных данных, касательно которых ее внутренними законами о неприкосновенности частной жизни предусмотрены конкретные правила, связанные с характером таких данных, в случае если другая страна-член не обеспечивает их эквивалентной защиты.
18. Странам-членам следует избегать принятия законов, политических установок и практических правил во имя защиты неприкосновенности частной жизни и индивидуальных свобод, которые могут создать препятствия для международных обменов персональными данными сверх меры, необходимой для обеспечения такой защиты.
Часть IV. Соблюдение на национальном уровне
19. При соблюдении на национальном уровне принципов, изложенных в Частях II и III настоящих Основных положений, странам-членам следует вводить в действие юридические, административные или иные процедуры или меры защиты неприкосновенности частной жизни и индивидуальных свобод, касающиеся персональных данных. В частности, странам-членам следует:
а) принять надлежащие внутренние законы;
б) поощрять и поддерживать саморегулирование путем принятия кодексов поведения или иных правил;
в) обеспечить наличие разумных механизмов реализации индивидуальных прав;
г) предусмотреть необходимые санкции и иные средства защиты прав на случай неисполнения мер, обеспечивающих соблюдение принципов, перечисленных в Частях II и III;
д) обеспечить недискриминационное отношение к субъектам данных.
Часть V. Международное сотрудничество
20. Странам-членам следует предоставлять другим странам-членам по их просьбе детальную информацию о соблюдении принципов, перечисленных в настоящих Основных положениях. Странам-членам также следует принимать меры к тому, чтобы процедуры международных обменов персональными данными и защиты неприкосновенности частной жизни и индивидуальных свобод были простыми и совместимыми с процедурами, принятыми в других странах-членах, соблюдающих настоящие Основные положения.
21. Странам-членам следует ввести в действие процедуры, способствующие:
обменам информацией, относящейся к настоящим Основным положениям;
взаимопомощи в осуществлении процедур и проведении расследований по вопросам, представляющим обоюдный интерес.
22. Странам-членам следует разрабатывать принципы — внутренние и международные, — на которых будут базироваться применимые законы о международных обменах персональными данными.
Пояснительный меморандум
Введение
Одной из характерных черт деятельности стран — членов ОЭСР на протяжении последнего десятилетия была разработка законов о защите неприкосновенности частной жизни. Эти законы принимались разными странами в различных формах, а во многих государствах они до сих пор находятся в процессе разработки. Расхождения в законодательствах могут создавать препятствия для свободных обменов информацией между странами. В последние годы информационные потоки значительно возросли и будут продолжать увеличиваться по мере внедрения новых компьютерных и коммуникационных технологий.
ОЭСР, которая уже несколько лет работала в этой области, решила заняться проблемой сближения национальных законодательств и в 1978 г. поручила группе экспертов разработать основные положения правил для регулирования международных информационных обменов и защиты персональных данных и неприкосновенности частной жизни, что позволило бы привести национальные законодательства в соответствие друг с другом. К настоящему времени работа группы уже завершена.
Основные положения — это широкомасштабный документ, отражающий итоги многолетних дискуссий и законотворчества в странах — членах ОЭСР. Группа экспертов, готовившая Основные положения, сочла необходимым сопроводить их Пояснительным меморандумом, содержащим детальные разъяснения по отдельным пунктам документа, а также по важнейшим проблемам защиты неприкосновенности частной жизни и индивидуальных свобод. Меморандум высвечивает ключевые вопросы, поднимавшиеся в ходе дискуссий, и дает разъяснения о выборе тех или иных вариантов их решения.
В первой части Меморандума содержится общая информация по вопросам, представляющим интерес для стран-членов. В нем подчеркивается необходимость объединения усилий всех стран и обобщаются результаты работы, уже проведенной ОЭСР и рядом других международных организаций к настоящему времени. В заключение первой части дается перечень основных проблем, с которыми группа экспертов столкнулась в процессе работы.
Вторая часть имеет два подраздела. В первом содержатся комментарии по некоторым общим вопросам Основных положений; во втором — детальные комментарии по отдельным пунктам.
Настоящий Меморандум является информационным документом, подготовленным для того, чтобы объяснить и в общих чертах обрисовать работу экспертной группы. По отношению к Основным положениям он является вспомогательным документом, который не изменяет смысла Основных положений, а помогает их правильно интерпретировать и применять на практике.
I. Общая информация
Проблемы
1. 70-е годы XX века можно определить как период интенсивной исследовательской и законотворческой деятельности по вопросам защиты неприкосновенности частной жизни в сфере сбора и использования персональных данных. Судя по многочисленным официальным документам, эти проблемы весьма серьезно воспринимаются в политических кругах; столь же очевидно, что нахождение баланса между противоположными интересами — это весьма сложная и деликатная задача, которая вряд ли может быть решена раз и навсегда. Поскольку общественность имеет тенденцию обращать внимание на риски и возможные негативные последствия, ассоциируемые с компьютерной обработкой персональных данных, некоторые страны приняли законы, относящиеся исключительно к компьютерам и компьютеризированным видам деятельности. Другие страны подошли к вопросам защиты неприкосновенности частной жизни с более широких позиций, не ограничивая себя конкретными видами технологии обработки данных.
2. Предметом дискуссии прежде всего являются механизмы защиты индивидуума от вмешательства в его частную жизнь в «классическом» смысле, т.е. от незаконного использования или разглашения его интимных персональных данных. Однако все более и более очевидной становится необходимость создания и других, более или менее связанных между собой механизмов защиты. Среди прочего, речь идет об обязанности хранителей персональных данных информировать общественность о том, каким образом эти данные используются, а также о праве субъектов данных требовать того, чтобы их персональные данные были дополнены или исправлены. В общем и целом, наблюдается тенденция к более широкому толкованию традиционной концепции неприкосновенности частной жизни («права на невмешательство в частную жизнь») и выявлению более сложного синтеза интересов, который, вероятно, было бы более правильно определить как неприкосновенность частной жизни и индивидуальных свобод.
3. Что касается юридических проблем, связанных с автоматизированной обработкой данных (АОД), то защита неприкосновенности частной жизни и индивидуальных свобод является вопросом, вызывающим наиболее оживленные дебаты. Среди причин столь широкой обеспокоенности этой проблемой можно назвать повсеместное использование компьютеров для обработки персональных данных, существенно расширившиеся возможности для хранения, сравнения, связывания, отбора и доступа к персональным данным, а также комбинированное использование компьютеров и телекоммуникационных технологий, способное единовременно предоставлять персональные данные в распоряжение многих тысяч пользователей в разных точках земного шара и позволяющее составлять обширные базы данных и создавать комплексные — национальные и международные — сети данных. Ряд проблем требует особо пристального внимания, например, проблемы, связанные с создаваемыми в настоящее время международными сетями данных, а также необходимость находить баланс между противоречивыми интересами — защитой неприкосновенности частной жизни, с одной стороны, и уважением права на свободный обмен информацией, с другой, — для полномасштабного использования потенциала современных технологий обработки данных в той мере, в которой это представляется желательным.
Деятельность на национальном уровне
4. Более трети стран — членов ОЭСР приняли к настоящему времени один или несколько законов, которые призваны, среди прочего, обеспечить защиту индивидуума от незаконного использования его персональных данных и гарантировать ему право доступа к данным для проверки их точности и правильности. В федеративных государствах подобные законы принимались как на национальном уровне, так и на уровне отдельных штатов или провинций. В разных странах эти законы называются по-разному. Например, в странах континентальной Европы они называются «законами о данных» или «законами о защите данных» (lois sur la protection des donnОes), тогда как в англоговорящих странах они более известны как «законы о защите неприкосновенности частной жизни» (privacy protection laws). Большинство законов такого рода были приняты после 1973 г., и нынешний период можно определить как период продолжающегося и даже расширенного законотворчества. Страны, в которых соответствующие законы уже вступили в силу, исследуют новые области, нуждающиеся в защите, либо пересматривают и дополняют существующие законодательства. В ряде других государств, интересующихся данной тематикой, эксперты либо уже разработали соответствующие законопроекты, либо обсуждают проблемы с целью разработки необходимых законов. Эти усилия, предпринимающиеся на национальном уровне, и не в последнюю очередь многочисленные научные доклады и публикации, подготовленные государственными комитетами или аналогичными организациями, помогают осознать суть проблем и оценить все «за» и «против» различных вариантов их решения. На нынешнем этапе это создает прочную основу для международного сотрудничества.
5. Подходы разных стран к вопросам защиты неприкосновенности частной жизни и индивидуальных свобод имеют много общего. Например, можно выявить ряд базовых интересов или ценностей, которые, по общему мнению, являются составными элементами системы защиты. Среди ключевых принципов в этой сфере можно назвать следующие: ограничение объема запрашиваемых персональных данных целями, стоящими перед собирающей эти данные стороной, а также другими подобными критериями; ограничение возможностей для использования персональных данных перечнем открыто заявленных целей; создание механизмов, позволяющих индивидууму узнавать о наличии в обращении и о содержании его персональных данных, а также требовать исправления этих данных; указание реквизитов лиц, несущих ответственность за соблюдение соответствующих правил и решений, касающихся защиты неприкосновенности частной жизни. Вообще говоря, законы о защите неприкосновенности частной жизни и индивидуальных свобод в сфере персональных данных пытаются охватить все последовательные этапы цикла, начиная со сбора данных и заканчивая их уничтожением, и обеспечить при этом максимально полное информирование, участие и контроль со стороны индивидуума.
6. Различия в национальных подходах, проявляющиеся в настоящее время в законах, законопроектах и законодательных предложениях, касаются таких аспектов, как масштаб действия законодательного акта, акцентирование в нем различных элементов системы защиты, детальное соблюдение вышеперечисленных принципов, а также система контроля за исполнением законодательства. Так, существуют различные точки зрения на лицензионные требования и механизмы контроля в форме специальных органов надзора («инспекций по проверке персональных данных»). Кроме того, в качестве примеров можно указать на различия в категоризации данных, не подлежащих разглашению, и в методах обеспечения открытости и индивидуального участия. Разумеется, традиционные различия между юридическими системами разных стран также служат источником несоответствий - как с точки зрения подходов к законотворчеству, так и в смысле детальной разработки регулятивных рамок для защиты персональных данных.
Международные аспекты неприкосновенности частной жизни и банки данных
7. В силу различных причин проблемы разработки механизмов защиты частных лиц с процессе использования их персональных данных не могут решаться исключительно на национальном уровне. Колоссальное увеличение объемов международных информационных обменов и создание международных банков данных (баз данных, предназначенных для использования в качестве источников справочной информации и т.п.) указывают на необходимость объединения усилий на международном уровне и вместе с тем поддерживают тезис о том, что следует находить баланс между свободой информационных обменов и соблюдением требований, касающихся защиты данных и ограничений на их сбор, обработку и распространение.
8. Одной из главных проблем международного уровня является достижение консенсуса во взглядах на фундаментальные принципы, на которых должна основываться система защиты интересов индивидуума. Такой консенсус устранил или уменьшил бы необходимость в регулировании экспорта данных и способствовал бы разрешению проблем, вытекающих из несоответствия национальных законодательств. Более того, он мог бы стать первым шагом на пути к разработке более детальных, обязательных для исполнения международных соглашений.
9. Есть и другие причины для того, чтобы рассматривать регулирование процессов обработки персональных данных в международном контексте: вышеназванные принципы затрагивают ценности, которые многие страны готовы активно отстаивать у себя дома и рекомендовать к принятию другими государствами; они помогут уменьшить затраты на международную передачу данных; разные страны равным образом заинтересованы в том, чтобы не допустить образования регионов, где национальные законы об использовании данных можно было бы легко обойти; фактически, если учитывать международную мобильность людей, товаров и коммерческой и научной деятельности, введение общепринятых норм обработки данных может оказаться полезным даже там, где речь не идет о прямой передаче данных через государственные границы.
Международная деятельность в соответствующей сфере
10. Существует ряд международных соглашений по различным аспектам деятельности в сфере телекоммуникаций, которые, способствуя развитию сотрудничества между государствами, признают суверенное право каждой страны регулировать деятельность собственных телекоммуникационных сетей (Международная конвенция электросвязи, 1973 г.). Проблема защиты компьютерных данных и программ изучалась, в частности, Всемирной организацией интеллектуальной собственности, которая разработала типовые проекты национальных законов о защите компьютерных программ. Специальные соглашения по развитию информационного сотрудничества заключены и в некоторых других областях, в том числе в сфере контроля за соблюдением законности, медицинских услуг, статистики и юридических услуг (например, в отношении сбора свидетельских показаний).
11. Ряд международных соглашений с более широких позиций затрагивает вопросы, являющиеся предметом нашего обсуждения, а именно: защита неприкосновенности частной жизни и свободное распространение информации. К этим соглашениям относятся: Европейская конвенция по правам человека от 4 ноября 1950 г. и Международный пакт о гражданских и политических правах (ООН, 19 декабря 1966 г.)
12. Однако в связи с неадекватностью существующих международных инструментов, касающихся обработки данных и прав индивидуума, некоторые международные организации провели детальные исследования по обсуждаемым нами проблемам с целью более успешного их решения.
13. В 1973 и 1974 гг. Комитет министров Совета Европы принял две резолюции о защите неприкосновенности частной жизни в связи с созданием электронных банков данных — одну для частного, другую для государственного сектора. Обе резолюции рекомендуют правительствам стран — членов Совета Европы принять меры к обеспечению соблюдения базовых принципов защиты, относящихся к получению данных, качеству данных и праву частного лица на получение информации о своих персональных данных и способах их использования.
14. Позднее Совет Европы, выполняя инструкции своего Комитета министров, начал подготовку международной Конвенции о защите неприкосновенности частной жизни в отношении зарубежной обработки персональных данных и передачи данных через государственные границы. Он также инициировал разработку типовых правил для банков медицинских данных и правил поведения для профессионалов, занимающихся обработкой компьютерных данных. Конвенция была принята Комитетом министров 17 сентября 1980 г. Она устанавливает базовые принципы защиты персональных данных, которые должны соблюдаться странами-членами; снимает ряд ограничений на международные обмены данными между подписавшими контракт сторонами на основе взаимности; содействует развитию сотрудничества между национальными органами, регулирующими вопросы защиты данных; предлагает образовать Консультативный комитет по вопросам применения и дальнейшей разработки Конвенции.
15. Европейское Сообщество проанализировало проблемы приведения национальных законодательств своих стран-членов в соответствие друг с другом в отношении международных обменов данными и возможных нарушений механизмов конкуренции, а также проблемы безопасности и конфиденциальности данных и характер международных обменов данными. В начале 1978 г. один из подкомитетов Европейского парламента провел публичные слушания по вопросам обработки данных и соблюдения прав индивидуума. Его работа завершилась весной 1979 г. составлением отчета Европарламенту. Этот отчет, принятый Европейским парламентом в мае 1979 г., содержит резолюцию о защите прав индивидуума в свете технического прогресса в сфере обработки данных.
Деятельность ОЭСР
16. Программа ОЭСР в области международных обменов данными явилась результатом исследований по вопросам применения компьютерной техники в государственном секторе, начатых в 1969 г. Группа экспертов (Комиссия по банкам банных) проанализировала и исследовала различные аспекты проблемы неприкосновенности частной жизни применительно к сфере цифровой информации, государственного управления, международных обменов данными, а также с точки зрения возможных общеполитических последствий. Чтобы собрать факты, проливающие свет на характер исследуемых проблем, Комиссия по банкам данных организовала в Вене в 1997 г. симпозиум, в ходе которого представители разных сфер деятельности, в том числе государственные чиновники, промышленники, пользователи международных сетей передачи данных, поставщики услуг в области обработки информации и представители заинтересованных межправительственных организаций поделились друг с другом мнениями и опытом.
17. В рамках общей концепции возможного международного сотрудничества были определены некоторые основополагающие принципы. Они свидетельствовали о признании: (а) необходимости постоянных, непрерывных обменов информацией между странами; (б) законной заинтересованности стран в недопущении обменов данными, которые представляют угрозу для их безопасности, противоречат их законам о государственном устройстве или благопристойности, либо нарушают права их граждан; (в) экономической ценности информации и важности защиты «торговли данными» с помощью общепринятых правил честной конкуренции; (г) необходимости создания механизмов безопасности для сведения к минимуму нарушений целостности данных, составляющих собственность, и случаев незаконного использования персональных данных; (д) важности соблюдения странами набора основополагающих принципов, относящихся к защите персональных данных.
18. В начале 1978 г. в рамках ОЭСР была создана Специальная экспертная группа по преодолению барьеров в сфере международных обменов данными и защите неприкосновенности частной жизни, которой было поручено разработать базовые правила регулирования международных обменов данными и защиты неприкосновенности частной жизни и персональных данных для приведения национальных законодательств в соответствие друг с другом, не исключая возможности последующего принятия международной конвенции. Эта работа должна была осуществляться в тесном контакте с Советом Европы и Европейским Сообществом и завершиться к 1 июля 1979 г.
19. Экспертная группа во главе с достопочтенным судьей Кирби, которой помогал д-р Питер Сейпель, выступавший в качестве консультанта, предложила несколько проектов документов и обсудила ряд докладов, в том числе содержавших сравнительный анализ различных подходов к разработке законов в данной области. Особое внимание группа уделила следующим ключевым вопросам:
а) Специфическая, секретная информация
Эксперты обсуждали вопрос о том, должны ли Основные положения носить обобщенный характер или следует разработать отдельные положения для различных типов данных и видов деятельности (например, для отчетности по кредитам). Судя по всему, составить перечень типов данных, которые при всех обстоятельствах могли бы рассматриваться как секретные, не представляется возможным.
б) Автоматизированная обработка данных (АОД)
Заявления о том, что АОД является главным источником озабоченности, вызывают сомнения и многими опровергаются.
в) Юридические лица
Некоторые — но отнюдь не все - национальные законодательства охраняют данные, относящиеся к юридическим лицам, в такой же степени, как и данные о физических лицах.
г) Санкции и иные средства защиты прав
Подходы к вопросу о механизмах контроля достаточно многообразны: например, схемы, предусматривающие надзор и лицензирование со стороны специально созданных органов, можно противопоставить тем, что основаны на добровольном соблюдении правил хранителями персональных данных и обращении в суд как традиционном способе защиты прав.
д) Основные механизмы исполнения
Выбор основополагающих принципов и необходимого уровня их детализации является достаточно сложной проблемой. Например, нет единства во взглядах на то, в какой степени вопросы безопасности данных (защита данных от несанкционированного использования, пожара и т.п.) следует считать составными элементами системы мер по защите неприкосновенности частной жизни; существуют разногласия по вопросу о том, в течение какого времени данные могут сохраняться и каковы критерии для их уничтожения; то же самое относится и к требованиям соответствия персональных данных заявленным целям их использования. В частности, трудно провести четкую линию раздела между уровнем основополагающих принципов и целей, с одной стороны, и «менее важными» вопросами о механизмах реализации этих принципов, которые можно оставить на усмотрение каждой из стран, с другой.
е) Выбор применимого законодательства
Проблемы выбора юрисдикции, выбора применимого законодательства и признания решений зарубежных судов оказались сложными для решения в контексте международных обменов данными. Однако главным вопросом стал вопрос о том, нужно ли — и если да, то в какой степени — пытаться на нынешнем этапе предлагать возможные варианты решений в рамках Основных положений, не являющихся обязательными для исполнения.
ж) Исключения
Вопрос об исключениях из правил также стал предметом разногласий. Нужны ли исключения вообще? Если да, то следует ли предложить конкретные категории исключений или сформулировать общие пределы для применения исключений?
з) Возможные «перекосы»
Наконец, существует внутренний конфликт между защитой персональных данных и свободными обменами этими данными. Можно сделать упор либо на то, либо на другое; интересы, связанные с защитой неприкосновенности частной жизни, может быть трудно отделить от прочих интересов, относящихся к торговле, культуре, национальному суверенитету и т.п.
20. В процессе работы Экспертная группа поддерживала тесные контакты с соответствующими органами Совета Европы, прилагая максимум усилий к тому, чтобы избежать ненужных разночтений в текстах, разрабатываемых двумя организациями; этим и объясняется тот факт, что наборы основополагающих принципов во многом сходны. Тем не менее, есть и некоторые различия. Во-первых, Основные положения, разработанные ОЭСР, носят рекомендательный характер, тогда как Совет Европы предложил Конвенцию, которая будет юридически обязательной для исполнения ратифицировавшими ее странами. Это, в свою очередь, означает, что Совет Европы более детально проработал вопрос об исключениях. Что касается сферы применения, то Конвенция Совета Европы главным образом затрагивает автоматизированные системы обработки данных, тогда как Основные положения ОЭСР применяются к персональным данным, угрожающим неприкосновенности частной жизни и индивидуальным свободам, вне зависимости от методов и механизмов, используемых при их обработке. По уровню детализации базовые принципы, предложенные двумя организациями, не являются идентичными; есть ряд различий и в используемой ими терминологии. Институциональные рамки долгосрочного сотрудничества более детально проработаны в конвенции Совета Европы по сравнению с Основными положениями ОЭСР.
21. Экспертная группа также сотрудничала с Комиссией европейских сообществ, как и требовалось в соответствии с ее мандатом.
II. Основные положения
Общие положения
22. В Преамбуле к Рекомендациям перечислены основные проблемы, требующие практического решения. Рекомендации заявляют о намерении стран-членов ОЭСР защищать неприкосновенность частной жизни и индивидуальные свободы и с уважением относиться к международным обменам персональными данными.
23. Основные положения, изложенные в Приложении к Рекомендациям, состоят из пяти частей. Часть I содержит ряд определений и конкретизирует масштабы применения Основных положений, подчеркивая, что они представляют собой минимальный набор стандартов. В Части II перечисляются восемь основополагающих принципов (пункты 7-14), относящихся к защите неприкосновенности частной жизни и индивидуальных свобод на национальном уровне. В Части III изложены принципы применения Основных положений на международном уровне, т.е. принципы, главным образом определяющие характер отношений между странами-членами.
24. Часть IV дает общую характеристику механизмам реализации принципов, изложенных в предыдущих разделах, подчеркивая, что применение этих принципов должно быть недискриминационным. Часть V касается вопросов взаимопомощи между странами-членами, осуществляемой главным образом через обмены информацией и использование совместимых процедур защиты персональных данных. В заключение дается ссылка на вопросы применимого законодательства, которые могут возникать при обменах персональными данными между несколькими странами-членами.
Цели
25. Центральным элементом Основных положений являются принципы, изложенные в Части II Приложения. Странам-членам рекомендуется соблюдать упомянутые принципы в целях:
a) достижения странами-членами определенных минимальных стандартов защиты неприкосновенности частной жизни и индивидуальных свобод в отношении персональных данных;
б) сведения к минимуму различий между соответствующими правилами и практикой, принятыми в странах-членах;
в) обеспечения соблюдения интересов других стран-членов в процессе защиты персональных данных, а также невозведения ненужных препятствий на пути обменов персональными данными между странами-членами;
г) устранения, насколько это возможно, причин, которые могут побудить страны-члены ограничить международные обмены персональными данными в связи с возможными рисками, ассоциируемыми с такими обменами.
Как указывается в Преамбуле, речь идет о двух основополагающих ценностях: о защите неприкосновенности частной жизни и индивидуальных свобод и о развитии свободных обменов персональными данными. Основные положения пытаются найти баланс между этими двумя ценностями; соглашаясь с необходимостью введения некоторых ограничений на международные обмены персональными данными, они стремятся сузить круг причин для введения таких ограничений и тем самым укрепить процесс свободных информационных обменов между странами.
26. Наконец, в Частях IV и V Основных положений изложены принципы, которые должны обеспечить:
а) принятие эффективных мер для защиты неприкосновенности частной жизни и индивидуальных свобод на национальном уровне;
б) недопущение практики, открывающей возможность для дискриминационного отношения к частным лицам;
в) создание основы для долгосрочного международного сотрудничества и обеспечения совместимости процедур, регулирующих международные обмены персональными данными.
Уровень детализации
27. Уровень детализации Основных положений различается в зависимости от двух главных факторов, а именно:
(а) от уровня консенсуса, достигнутого по предлагаемым вариантам решений;
(б) от объема знаний и опыта, подсказывающих решения, которые должны быть приняты на данном этапе. Например, принцип индивидуального участия (пункт 13) подробно трактует различные аспекты защиты интересов частного лица, тогда как положение, касающееся проблем выбора законодательства и т.п. (пункт 22), всего лишь отмечает начальную точку процесса поэтапной разработки детализированных общих подходов и международных соглашений. В целом Основные положения создают общие рамки для совместных усилий стран-членов: обозначенные в Основных положениях цели могут достигаться различными путями в зависимости от юридических инструментов и стратегий, выбранных странами-членами для их осуществления. В заключение следует указать на необходимость постоянного пересмотра Основных положений как отдельными странами-членами, так и ОЭСР в целом. По мере накопления ими опыта может потребоваться дальнейшая разработка Основных положений и внесение в них соответствующих поправок.
Страны, не входящие в ОЭСР
28. Рекомендации адресованы странам-членам ОЭСР, и это отражено в нескольких положениях, действие которых прямо ограничено отношениями между странами-членами (см. пункты 15, 17 и 20). Однако было бы желательно, чтобы Основные положения были широко признаны в мире; ни одна фраза в них не может трактоваться в том смысле, что страны-члены не могут применять соответствующие положения к странам, не входящим в ОЭСР. Учитывая активизацию международных обменов данными и необходимость принятия согласованных решений, будут приниматься меры к тому, чтобы не входящие в ОЭСР страны и заинтересованные международные организации также обратили внимание на настоящие Основные положения.
Долгосрочные перспективы в сфере регулирования
29. Как уже отмечалось выше, защита неприкосновенности частной жизни и индивидуальных свобод представляет собой одну из сфер, где пересекаются различные юридические аспекты процесса обработки данных. Настоящие Основные положения представляют собой еще один, дополнительный международный инструмент регулирования таких областей жизни, как права человека, телекоммуникации, международная торговля, авторские права и различные информационные услуги. В случае необходимости принципы, изложенные в Основных положениях, могут стать предметом дальнейшей разработки в рамках деятельности ОЭСР в области информации, компьютерной техники и коммуникационной политики.
30. Некоторые из стран-членов подчеркивают преимущества принятия широкомасштабной и обязательной для исполнения международной конвенции. Мандат Экспертной группы обязывал ее разработать основные положения базовых правил осуществления международных обменов данными и защиты неприкосновенности частной жизни и индивидуальных свобод, не исключая возможности последующего принятия международной конвенции, которая была бы обязательной для исполнения. Настоящие Основные положения могут послужить отправной точкой для разработки международной конвенции, когда это станет необходимо.
Юридические лица, группы и прочие организации
31. Некоторые страны считают, что механизмы защиты данных, относящихся к частным лицам, могут быть аналогичны тем, что необходимы для защиты данных, касающихся деловых предприятий, ассоциаций и групп, обладающих или не обладающих статусом юридического лица. Опыт ряда стран также свидетельствует о том, что четко разграничить персональные и неперсональные данные достаточно сложно. Например, данные, относящиеся к небольшой компании, могут одновременно затрагивать ее владельца или владельцев и содержать более или менее секретную персональную информацию. В подобных случаях рекомендуется распространять действие механизмов защиты, применяемых главным образом к персональным данным, и на корпоративные структуры.
32. По аналогии можно спорить и о том, в какой степени люди, входящие в ту или иную группу (например, граждан с психическими заболеваниями, иммигрантов, этнических меньшинств и т.п.), нуждаются в дополнительных гарантиях того, что информация, относящаяся к этой группе, не будет подлежать распространению.
33. С другой стороны, Основные положения отражают мнение о том, что понятия личной безопасности и неприкосновенности частной жизни во многих аспектах являются особенными и не могут трактоваться так же, как понятия безопасности группы людей или корпоративной безопасности и конфиденциальности. Они требуют иных механизмов защиты и иных политических рамок для формулирования решений и поиска балансов интересов. Некоторые члены Экспертной группы предлагали предусмотреть возможность распространения действия Основных положений на юридические лица (корпорации, ассоциации и т.п.). Это предложение не было поддержано достаточным большинством голосов. Таким образом, масштаб действия Основных положений ограничен данными, относящимися к частным лицам; страны-члены должны самостоятельно проводить линии раздела и принимать политические решения, относящиеся к корпорациям, группам и прочим коллективным структурам
Автоматизированная и неавтоматизированная обработка данных
34. В прошлом деятельность ОЭСР по защите неприкосновенности частной жизни и в смежных областях была сосредоточена на автоматической обработке данных и компьютерных сетях. Экспертная группа обращала особое внимание на вопрос о том, следует или не следует ограничивать действие настоящих Основных положений системами автоматизированной и компьютерной обработки персональных данных. В пользу такого ограничения говорит целый ряд факторов, в том числе серьезная угроза неприкосновенности частной жизни индивидуума, возникающая в связи с появлением автоматизированных систем и компьютерных банков данных и со все более явным преобладанием автоматизированных методов обработки данных, особенно в процессе международных обменов данными; следует также учитывать конкретные рамки информационной, компьютерной и коммуникационной политики, в которых Экспертная группа выполняла порученную ей работу.
35. С другой стороны, Экспертная группа пришла к выводу, что ограничение действия Основных положений только системами автоматизированной обработки данных имело бы ряд недостатков. Во-первых, на уровне определений достаточно трудно провести четкую линию раздела между автоматизированной и неавтоматизированной обработкой данных. Существуют, например, «смешанные» типы систем, которые могут предусматривать, а могут и не предусматривать автоматизированную обработку данных. Эти трудности усугубляются постоянным совершенствованием технологий: например, вводятся в действие новейшие методы полуавтоматической обработки данных на основе микрофильмов или микрокомпьютеров, которые начинают все более широко использоваться частными лицами в целях, которые являются, с одной стороны, безобидными, а с другой, не поддающимися контролю. Более того, если действие Основных положений будет касаться только компьютеров, то результатом этого может стать отсутствие системного подхода, «провалы» и создание широких возможностей для того, чтобы хранители данных могли обходить правила, принятые во исполнение Основных положений, используя неавтоматизированные методы обработки данных в целях, которые могут оказаться небезопасными.
36. В связи с вышеописанными трудностями Основные положения не дают определения понятию «автоматизированная обработка данных», хотя соответствующая концепция упоминается в Преамбуле и в пункте 3 Приложения. Предполагается, что советы относительно интерпретации этой концепции могут быть получены из иных источников — например, из стандартных технических словарей.
37. Важнее всего то, что принципы защиты неприкосновенности частной жизни и индивидуальных свобод, изложенные в Основных положениях, применимы к обработке данных в самом широком ее понимании, вне зависимости от конкретных технологий, используемых в этом процессе. Следовательно, Основные положения применимы к персональным данным в общем или, точнее говоря, к персональным данным, которые либо в связи со способом их обработки, либо в силу своего характера или контекста представляют собой источник угрозы неприкосновенности частной жизни и индивидуальным свободам.
38. Следует, однако, отметить, что Основные положения не являются набором неких общих принципов защиты неприкосновенности частной жизни; вмешательство в частную жизнь посредством, например, съемки скрытой камерой, причинения физического ущерба или оклеветания выходит за рамки этого документа, если упомянутые действия так или иначе не связаны с обработкой персональных данных. Таким образом, Основные положения касаются сбора и использования больших объемов данных, приспособленных для поиска необходимой информации для принятия решений, проведения научных исследований, опросов и т.п. Следует подчеркнуть, что Основные положения нейтральны по отношению к технологиям, используемым в каждом конкретном случае; методы автоматизированной обработки данных являются лишь одним из вопросов, затрагиваемых Основными положениями, хотя и весьма важным вопросом, если рассматривать его в контексте международных обменов данными.