Технология "cookies" и защита информации

Согласно Конституции РФ 1993 г., сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. Данное положение подкрепляется правом на неприкосновенность частной жизни. Сфера защиты информации регулируется двумя федеральными законами: "Об информации, информатизации и защите информации" от 20 февраля 1995 г. (а также рядом принятых в соответствии с ним подзаконными актами) и "Об участии в международном информационном обмене" от 4 июля 1996 г.

В мае 1998 г. на рассмотрение в Государственную Думу был представлен проект закона "О защите информации о гражданах (персональных данных)". Однако до настоящего времени, насколько нам известно, он остается без движения.

В Законе об информации "персональные данные" определяются как сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность. Как указывалось выше, от потребителя может быть получена необходимая информация, представляющая собой персональные данные, с целью его идентификации. Согласно Закону об информации, персональные данные являются конфиденциальными.

Одним из наиболее значимых положений Закона об информации, касающимся технологии "сookie", является положение о том, что сбор, хранение, использование и распространение информации о частной жизни физического лица без его предварительного согласия запрещается. Это означает, что сбор информации в рамках системы "сookie" без непосредственного согласия потребителя/компьютерного пользователя осуществляется в нарушение Закона об информации и может служить основанием для предъявления гражданского иска (если возможно доказать факт неблагоприятных последствий такого нарушения).

Закон об информации предусматривает, что согласие потребителя на сбор, хранение, использование и распространение персональных данных может быть ограничено либо отозвано соответствующим лицом в любой момент времени. Таким образом, ссылка в уведомительном сообщении к "сookie" на безотзывность согласия на включение персональных данных в базу, в том числе на определенный срок, неправомерна.

Согласно российскому законодательству, физическое лицо, персональные данные которого вводятся в базу данных, имеет право: получать доступ к своим персональным данным, требовать их копии, проверять их полноту или достоверность, а также знать, кто использует или использовал эти данные и с какой целью.

Эти права реализуются бесплатно в любой момент времени по предъявлении соответствующего требования. Как указывалось выше, учитывая природу технологии "сookies", владелец персональных данных не всегда может проконтролировать, кто именно получает доступ к его "сookie"-файлу.

Закон об информации устанавливает, что деятельность любой негосударственной (коммерческой) организации и частных лиц, связанная с обработкой и предоставлением пользователям "персональных данных", подлежит лицензированию.

Лицензирование обязательно и для лиц, которые занимаются обработкой "персональных данных" или дизайном и составлением систем баз данных.

Несмотря на то, что на дату настоящей публикации соответствующий порядок лицензирования российским законодательством не установлен, было бы целесообразно учитывать эти требования Закона об информации, а также следить за выходом соответствующих документов.

Если персональные данные, собранные в файлах "сookies", подлежат экспорту из Российской Федерации, в том числе посредством предоставления доступа к электронным носителям, то на это должно быть получено официальное разрешение Правительства Российской Федерации. Процедура получения такого разрешения, однако, пока не установлена.