Каждый день в технологии электронной торговли появляется что-то новое, обогащается опыт участников рынка, использующих Интернет для своей хозяйственной деятельности. Этот процесс сопровождается возникновением ряда правовых проблем, от разрешения которых зависит будущее электронной торговли в России. Одной из таких проблем является защита частной жизни от недобросовестного использования новейших технологий.

Нарушение неприкосновенности частной жизни в Интернете имеет целый ряд проявлений - от появления конфиденциальной информации о потребителях в рекламных баннерах на web-сайтах или через сторонних сервис-провайдеров до мониторинга поведения отдельных потребителей в Интернете для составления "портрета потребителя". Составленный с учетом покупательских предпочтений индивида, его манеры тратить деньги и прочей информации, которую потребитель передает в Интернет, "портрет потребителя" позволяет рекламным агентствам и организациям, ведущим электронную торговлю, направлять потребителю "персонифицированную" рекламу и информацию. Значение этого маркетингового инструмента для торговых компаний сложно переоценить, но его подготовка возможна только на основании информации о потребителе, который всего лишь вводит свои персональные данные при пользовании Интернетом.

В случае, если пользователь не передает персональную информацию в Интернет, проблемы, описанные в настоящем обзоре, не возникают, так как полученная информация остается анонимной.

Технология cookies

В основе одной из программ Интернет-мониторинга лежит так называемая технология cookies - "постоянно обновляемая информация о потребителе", которая позволяет запоминать данные между обращениями в Сеть. С момента создания в компьютере потребителя файл cookie хранит информацию в целях ее дальнейшего использования. Соответственно каждый раз после создания cookie-файла, когда тот или иной потребитель использует этот компьютер для доступа в Интернет, файл может быть отслежен коммерческими организациями. которые располагают возможностями доступа к данному cookie.

Технология cookies позволяет компилировать информацию, создавая "портрет потребителя" - как персонифицированный, так и анонимный.

Данные cookie-файлов могут включать некоторые сведения о личности потребителя или быть анонимными. Охват данных зависит от объема сведений, которые потребитель направляет о себе в Интернет: от имени, фамилии, местонахождения, часового пояса и номера счета до информации о личных предпочтениях при установке, скажем, рабочего стола и сделках, совершенных в Сети (в том числе сведения о компьютере, которым пользуется потребитель). Технология cookies позволяет компилировать такую информацию, создавая "портрет потребителя" - как персонифицированный, так и анонимный.

Самой существенной частью cookie-слежения (с правовой точки зрения) является создание cookie-файла для компьютера потребителя без уведомления последнего. Некоторые приложения направляют потребителю уведомление о намерении создать cookie-файл с предоставлением потребителю возможности запретить такое создание путем выбора соответствующего варианта действий. Другие программы создают cookie-файл вообще без уведомления потребителя.

Кроме того, серьезные юридические проблемы могут быть связаны с тем, что хакеры могут получить доступ к cookie-программ соответственно, к обширным базам личным данных, которые могут быть накоплены т, ми программами.

Целью настоящего краткого обзора является определение точек соприкосновения между законодательством России о защите информации и технологий cookies, которые действ без ведома и согласия потребителя. Случаи использования таких программ могут находить отражение в российском законодательстве о защите информации. В связи с этой npo6леммой возникает также вопрос об уголовных санкциях при нарушениях законодательства о защите информации, которые, однако, в стоящем обзоре не освещаются.

Российское законодательство о защите информации

Согласно Конституции РФ 1993 г. сбор, хранение, использование и распространение информации о частной жизни лица без eго согласия не допускаются. Данное положение подкрепляется правом на неприкосновенность частной жизни. Сфера защиты информации также регулируется двумя федеральными законами: "Об информации, информации и защите информации" от 20 февраля 1996 также рядом принятых в соответствии с HI подзаконных актов и законом " Об участии в международном информационном oбмeне 4 июля 1996 г.

Кроме того, в мае 1998 г. на рассмотрение в Государственную думу был представлен проект закона "О защите информации о гражданах (персональных данных)", но до настоящего времени, насколько нам известно, он с остается без движения.

Закон об информации: информация о граждан (персональные данные)

В Законе об информации персональные данные определяются как сведения о фактах событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность. Как указывалось выше, от потребителя может быть получена необходимая информация, представляющая собой персональные данные, с целью идентификации потребителя. Согласно Закону об информации персональные данные относятся к категории конфиденциальной информации.

Закон об информации: согласие потребителя

Одним из наиболее значимых положений Закона об информации, касающимся технологии cookies, является положение, что сбор, хранение, использование и распространение информации о частной жизни физического лица без его предварительного согласия запрещаются. Это означает, что сбор информации в рамках системы cookies, в которой хранятся персональные данные потребителя, позволяющие его идентифицировать (например, имя, адрес, номер кредитной карты), без непосредственного согласия потребителя/компьютерного пользователя на сбор соответствующей информации осуществляется в нарушение Закона об информации. По существу, такие сбор, хранение и использование персональных данных, осуществляемые в рамках технологии cookie, могут служить основанием для предъявления пользователями гражданского иска о нарушении их прав, если окажется возможным доказать факт нарушения и неблагоприятные последствия, вызванные таким нарушением.

Закон об информации также предусматривает. что согласие потребителя на сбор, хранение, использование и распространение персональных данных может быть ограничено либо может быть отозвано соответствующим лицом в любой момент времени. В связи с этим любая ссылка в уведомительном сообщении к cookie на безотзывность согласия на включение персональных данных в базу данных, в том числе на определенный срок, согласно российскому законодательству не имеет силы.

Согласно нашему законодательству физическое лицо, персональные данные которого вводятся в базу данных, имеет право: получать доступ к своим персональным данным, требовать их копии, проверять полноту или достоверность, а также знать, кто использует или использовал его персональные данные и с какой целью. Эти права реализуются бесплатно в любой момент по предъявлении соответствующего требования. Как указывалось выше. учитывая природу технологии cookies, владелец персональных данных не всегда может проконтролировать, кто именно получает доступ к cookie-файлу компьютера персонального пользователя.

Закон об информации: три категории лиц, деятельность которых подлежит лицензированию

Закон об информации устанавливает, что деятельность любой негосударственной (коммерческой) организации и частных лиц, связанная с обработкой и предоставлением пользователям персональных данных, подлежит обязательному лицензированию. То есть передача персональных данных, собранных в файле cookie, любому третьему пользователю (например, лицам, занимающимся электронной торговлей или рекламой в Интернете, которые намерены использовать портрет потребителя, составленный в отношении того или иного физического лица), подлежит обязательному лицензированию. Помимо лицензирования деятельности, связанной с распространением персональных данных пользователям, лицензирование также обязательно для лиц, занимающихся обработкой персональных данных, а также для лиц, чья деятельность связана с дизайном и составлением систем баз данных, которые подлежат лицензированию согласно Закону об информации.

Несмотря на то, что на момент настоящей публикации порядок лицензирования российским законодательством не установлен, было бы целесообразно учитывать эти требования Закона об информации, а также следить за выходом в свет соответствующих документов.

Закон об участии в международном информационном обмене

Если персональные данные, собранные в файлах cookie, подлежат экспорту из Российской Федерации, в том числе посредством предоставления доступа к электронным носителям, то должно быть получено официальное разрешение правительства на экспорт такой информации, так как персональные данные являются конфиденциальной информацией, в отношении передачи которой установлены определенные ограничения. Процедура получения такого разрешения, однако, пока не разработана.

В целях защиты владельца сайта от гражданских исков, а равно от уголовных санкций при использовании технологии cookies следует учитывать описанные выше потенциальные проблемы защиты персональных данных. Это в особенности касается случаев использования технологии cookies, не предусматривающих уведомления и прямого предварительного согласия пользователя на сбор и использование персональных данных. Потребители и компьютерные пользователи, на чьих компьютерах был создан cookie-файл, могут предъявлять гражданско-правовые требования о возмещении ущерба, возникающего вследствие нарушения права на неприкосновенность частной жизни. Такой ущерб, однако, на практике сложно доказуем.

В настоящий момент владельцам сайтов, использующих технологию, предоставляющую доступ к персональным данным компьютерного пользователя (такую, как cookies), было бы целесообразно изначально предоставлять пользователю информацию, каким образом будут использоваться его персональные данные. Кроме того, следует запрашивать непосредственное предварительное согласие пользователя на сбор и использование этих данных.

Чтобы минимизировать риск ответственности при условиях отсутствия федерального законодательства о защите электронных баз персональных данных, необходимо рассмотреть и вопрос о создании корпоративных правил относительно сбора, использования и распространения любых персональных данных, полученных в рамках технологии cookies.