Letyshops

Технология "cookies" и защита информации

Обзор подготовлен компанией "Клиффорд Чанс Пюндер" в 2000 году.

Проблема неприкосновенности

Каждый день в технологии электронной торговли появляется что-то новое, обогащается опыт участников рынка, использующих Интернет для осуществления своей хозяйственной деятельности. Этот процесс сопровождается возникновением ряда правовых проблем, от решения которых зависит будущее электронной торговли в России. Одной из таких проблем является защита частной жизни от недобросовестного использования новейших технологий.

Нарушение неприкосновенности частной жизни в Интернете реализуется рядом способов: от публикации конфиденциальной информации о потребителях в рекламных баннерах до мониторинга поведения отдельных клиентов в Интернете для составления "портрета потребителя".

Составленный с учетом покупательских предпочтений индивида, его манеры тратить деньги и т. д., "портрет потребителя" позволяет рекламным агентствам и организациям, ведущим электронную торговлю, направлять клиенту "персонифицированную" рекламу и информацию.

Технология "cookies"

В основе одной из программ Интернет-мониторинга лежит так называемая технология "cookie" - "постоянно обновляемая информация о потребителе", которая позволяет запоминать данные между обращениями в сеть. С момента создания в компьютере потребителя, файл "сookie" хранит информацию в целях ее дальнейшего использования. Каждый раз, когда тот или иной потребитель использует компьютер с "сookie"-файлом для доступа в Интернет, этот файл может быть отслежен коммерческими организациями, которые располагают возможностями доступа к данному "cookie".

Информация "cookie"-файлов может включать сведения о личности потребителя или быть анонимной. Охват зависит от объема данных, которые потребитель направляет о себе в Интернет: имя и фамилия, географическое местонахождение, часовой пояс и номер счета; информация о личных предпочтениях установок рабочего стола и сделках, совершенных в сети (в том числе - сведения о компьютере, которым пользуется потребитель). Технология "cookie" позволяет компилировать такую информацию, создавая "портрет потребителя", как персонифицированный, так и анонимный.

Самой существенной частью "cookie"-слежения (с правовой точки зрения) является создание "cookie"-файла для компьютера потребителя без уведомления последнего. Некоторые приложения направляют потребителю уведомление о намерении создать "cookie"-файл с предоставлением потребителю возможности запретить такое создание путем выбора соответствующего варианта действий. Другие программы создают "cookie"-файл без уведомления.

Серьезные юридические проблемы могут возникать, когда хакеры получают доступ к "cookie"-программам и, соответственно, к обширным базам личных данных, накопленных такими программами.

Цель настоящего обзора - найти точки соприкосновения между законодательством России о защите информации и технологиями "cookie", действующими без ведома и явного согласия потребителя.

Российское законодательство

Согласно Конституции РФ 1993 г., сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. Данное положение подкрепляется правом на неприкосновенность частной жизни. Сфера защиты информации регулируется двумя федеральными законами: "Об информации, информатизации и защите информации" от 20 февраля 1995 г. (а также рядом принятых в соответствии с ним подзаконными актами) и "Об участии в международном информационном обмене" от 4 июля 1996 г.

В мае 1998 г. на рассмотрение в Государственную Думу был представлен проект закона "О защите информации о гражданах (персональных данных)". Однако до настоящего времени, насколько нам известно, он остается без движения.

В Законе об информации "персональные данные" определяются как сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность. Как указывалось выше, от потребителя может быть получена необходимая информация, представляющая собой персональные данные, с целью его идентификации. Согласно Закону об информации, персональные данные являются конфиденциальными.

Одним из наиболее значимых положений Закона об информации, касающимся технологии "сookie", является положение о том, что сбор, хранение, использование и распространение информации о частной жизни физического лица без его предварительного согласия запрещается. Это означает, что сбор информации в рамках системы "сookie" без непосредственного согласия потребителя/компьютерного пользователя осуществляется в нарушение Закона об информации и может служить основанием для предъявления гражданского иска (если возможно доказать факт неблагоприятных последствий такого нарушения).

Закон об информации предусматривает, что согласие потребителя на сбор, хранение, использование и распространение персональных данных может быть ограничено либо отозвано соответствующим лицом в любой момент времени. Таким образом, ссылка в уведомительном сообщении к "сookie" на безотзывность согласия на включение персональных данных в базу, в том числе на определенный срок, неправомерна.

Согласно российскому законодательству, физическое лицо, персональные данные которого вводятся в базу данных, имеет право: получать доступ к своим персональным данным, требовать их копии, проверять их полноту или достоверность, а также знать, кто использует или использовал эти данные и с какой целью.

Эти права реализуются бесплатно в любой момент времени по предъявлении соответствующего требования. Как указывалось выше, учитывая природу технологии "сookies", владелец персональных данных не всегда может проконтролировать, кто именно получает доступ к его "сookie"-файлу.

Закон об информации устанавливает, что деятельность любой негосударственной (коммерческой) организации и частных лиц, связанная с обработкой и предоставлением пользователям "персональных данных", подлежит лицензированию.

Лицензирование обязательно и для лиц, которые занимаются обработкой "персональных данных" или дизайном и составлением систем баз данных.

Несмотря на то, что на дату настоящей публикации соответствующий порядок лицензирования российским законодательством не установлен, было бы целесообразно учитывать эти требования Закона об информации, а также следить за выходом соответствующих документов.

Если персональные данные, собранные в файлах "сookies", подлежат экспорту из Российской Федерации, в том числе посредством предоставления доступа к электронным носителям, то на это должно быть получено официальное разрешение Правительства Российской Федерации. Процедура получения такого разрешения, однако, пока не установлена.

Предварительные меры

Чтобы защитить владельца сайта от гражданских исков, как и от уголовных санкций, при использовании технологии "сookies" следует учитывать описанные выше потенциальные проблемы защиты персональных данных. В особенности это касается использования технологии "сookies", не предусматривающей уведомления и прямого предварительного согласия пользователя на сбор и использование персональных данных.

Потребители и компьютерные пользователи, на чьих компьютерах был создан "сookie"-файл, могут предъявлять гражданско-правовые требования о возмещении ущерба, возникающего вследствие нарушения права на неприкосновенность частной жизни. Правда, доказать наличие такого ущерба довольно трудно.

Владельцам сайтов, использующим технологию, которая дает доступ к персональным данным компьютерного пользователя (например, "сookies"), следует изначально предоставлять пользователю полную информацию о том, каким образом будут использоваться его персональные данные. Целесообразно также запрашивать предварительное согласие пользователя на сбор и использование этих данных.

Чтобы минимизировать риск ответственности в условиях отсутствия соответствующего федерального законодательства, необходимо рассмотреть вопрос о создании корпоративных правил, касающихся сбора, использования и распространения любых "персональных данных", полученных в рамках технологии "сookies".

Настоящий обзор содержит только общую информацию и не является юридическим заключением. За дополнительной информацией обращайтесь к Брюсу Бину, Элизабет Мессуд, Полине Дубининой, Дмитрию Лаврентьеву или Эрику Зую.

 

 

Реклама: