Статья 53. Базы данных об абонентах операторов связи
1. Сведения об абонентах и оказываемых им услугах связи, ставшие известными операторам связи в силу исполнения договора об оказании услуг связи, являются информацией ограниченного доступа и подлежат защите в соответствии с законодательством Российской Федерации.
К сведениям об абонентах относятся фамилия, имя, отчество или псевдоним абонента - физического лица, наименование (фирменное наименование) абонента - юридического лица, фамилия, имя, отчество руководителя и работников этого юридического лица, а также адрес абонента или адрес установки оконечного оборудования, абонентские номера и другие данные, позволяющие идентифицировать абонента или его оконечное оборудование, в том числе идентификатор пользовательского оборудования (оконечного оборудования), сведения баз данных систем расчета за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонента.
Предоставление третьим лицам сведений об абонентах - физических лицах может осуществляться только с их согласия, за исключением случаев, предусмотренных настоящим Федеральным законом и другими федеральными законами.
Обязанность предоставить доказательство получения согласия абонента - физического лица на предоставление сведений о нем третьим лицам возлагается на оператора связи.
Оператор связи вправе поручить в соответствии с частью 3 статьи 6 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" обработку персональных данных абонента - физического лица третьим лицам.
В случае, если оператор связи поручает обработку персональных данных абонента - физического лица третьему лицу в целях заключения и (или) исполнения договора об оказании услуг связи, стороной которого является абонент - физическое лицо, и (или) в целях осуществления прав и законных интересов оператора связи или абонента - физического лица, согласие абонента - физического лица на это поручение, в том числе на передачу его персональных данных такому третьему лицу, обработку персональных данных таким третьим лицом в соответствии с поручением оператора связи, не требуется.
Не требуется согласие пользователя услугами связи абонента - юридического лица либо индивидуального предпринимателя на передачу таким абонентом его персональных данных оператору связи в соответствии с настоящим Федеральным законом.
2. В целях информационно-справочного обслуживания операторы связи вправе создавать общедоступные базы данных об абонентах. В эти базы данных могут включаться:
фамилия, имя, отчество, абонентские номера абонента - физического лица (с его письменного согласия);
наименование (фирменное наименование), абонентские номера, адрес установки оконечного оборудования, указанный в договоре об оказании услуг связи, абонента - юридического лица.
По требованию в письменной форме абонента сведения об абоненте незамедлительно должны уточняться оператором связи. Сведения об абоненте - физическом лице должны быть исключены в любое время из общедоступной базы данных об абонентах по его требованию либо по решению суда или иных уполномоченных государственных органов Российской Федерации.
Судебная практика по статье 53 Закона о Связи:
-
Решение Верховного суда: Постановление N 302-АД15-5171, Судебная коллегия по экономическим спорам, кассация
Судами установлено, что общество является оператором связи. В силу положений части 1 статьи 53 Закона о связи, пункта 1 статьи 3, статьи 7 Закона о персональных данных, сведения об абонентах как персональные данные по общему правилу не подлежат раскрытию операторами связи перед третьими лицами...
-
Решение Верховного суда: Постановление N 82-АД16-1, Судебная коллегия по административным делам, надзор
Как следует из материалов дела, должностным лицом УМВД России по Курганской области у общества запрашивались сведения об абоненте осуществлявшем доступ к Интернет-ресурсу в конкретное время. В соответствии с пунктом 1 статьи 53 Закона о связи к сведениям об абонентах относятся фамилия, имя, отчество или псевдоним абонента гражданина, наименование (фирменное наименование) абонента юридического лица, фамилия, имя, отчество руководителя и работников этого юридического лица...
-
Решение Верховного суда: Постановление N 307-АД15-18844, Судебная коллегия по экономическим спорам, кассация
Оценив представленные доказательства в их совокупности и взаимной связи, принимая во внимание характер запрошенных антимонопольным органом у общества сведений, отнесенных статьей 53 Закона о связи к категории информации ограниченного доступа...
Комментарий к ст. 53 Закона о Связи
1. Комментируемая статья определяет правовой режим и состав сведений, обозначенных как "сведения об абонентах". Фактически данные сведения относятся к категории персональных данных, но поскольку комментируемый Закон вступил в силу на два года ранее, чем Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных", то наименование данной категории сведений сохранилось.
Правовой режим сведений об абонентах должен формироваться на основе положений как минимум трех законов: комментируемого Закона; Федерального закона от 27 июля 2006 г. N 149-ФЗ; Федерального закона от 27 июля 2006 г. N 152-ФЗ. Исследователи данного вопроса (О.И. Трофимов, А.И. Горев), сопоставляя способы хранения информации в традиционной картотеке и ее электронном аналоге - компьютерной базе данных, отметили ряд особенностей, которые качественно меняют правоотношения субъекта данных и оператора базы данных. К их числу относятся:
- возможность интеграции и объединенного поиска во множестве баз данных при однозначно определенном объекте;
- неуничтожимость и "сверхтекучесть" баз данных;
- легкость и дешевизна пополнения электронных баз данных;
- высокая скорость поиска и фильтрации информации;
- возможность использования алгоритмов построения опосредованных связей и др.
Легкость пополнения баз данных при переходе на цифровые технологии связи, документооборота и учета определяется двойственностью функций, выполняемых современными системами связи и обработки информации <12>. С одной стороны, они облегчают поиск нужного абонента; с другой стороны, они накапливают данные, накопление которых не всегда желательно или согласовано.
--------------------------------
<12> Трофимов О.И., Горев А.И. О правовой охране баз данных // Государство и право. 2008. N 6. С. 79 - 87.
Недооценка степени общественной опасности незаконного оборота абонентских баз данных обусловлена малой изученностью данного вопроса. Обмен данными происходил всегда, но только с появлением компьютерных сетей возникла возможность объединения созданных для различных целей информационных массивов, и человек оказался открыт в большей степени, чем это было прежде. И эта тенденция продолжает усиливаться.
Согласие абонента на обработку персональных данных трактуется однозначно. И обязанность оператора доказывать законность получения сведений не требует особых комментариев. Единственно, форма получения согласия должна иметь одинаковое, однозначное толкование как абонентом, так и оператором, а также третьим лицом, например судом при рассмотрении спора. Неоднозначным является положение комментируемой статьи о праве третьего лица обрабатывать персональные данные без получения согласия абонента. На фоне жестких требований к оператору нелогичным является положение о праве третьих лиц обрабатывать данные абонента без его согласия. Сохранность данных у третьего лица однозначно находится под сомнением. В таких условиях абонент должен понимать, что, подписывая согласие на обработку данных оператором, он фактически отдает их неограниченному кругу лиц. Исходя из такой парадигмы, абонент и должен решать вопрос о даче согласия на обработку данных.
Согласно ст. 16 Федерального закона от 27 июля 2006 г. N 149-ФЗ защита информации представляет собой принятие правовых, организационных и технических мер, направленных:
- на обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
- соблюдение конфиденциальности информации ограниченного доступа;
- реализацию права на доступ к информации.
Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:
- предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
- своевременное обнаружение фактов несанкционированного доступа к информации;
- предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
- недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
- возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
- постоянный контроль за обеспечением уровня защищенности информации;
- нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.
Требования о защите информации, содержащейся в государственных информационных системах, установлены Приказом ФСТЭК России от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах".
В информационной системе объектами защиты являются информация, содержащаяся в информационной системе, технические средства (в том числе средства вычислительной техники, машинные носители информации, средства и системы связи и передачи данных, технические средства обработки буквенно-цифровой, графической, видео- и речевой информации), общесистемное, прикладное, специальное программное обеспечение, информационные технологии, а также средства защиты информации.
Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.
Предоставление третьим лицам сведений об абонентах-гражданах может осуществляться только с их согласия, за исключением случаев, предусмотренных комментируемым Законом и другими федеральными законами, например:
- Федеральным законом от 7 февраля 2011 г. N 3-ФЗ "О полиции";
- Федеральным законом от 17 января 1992 г. N 2202-1 "О прокуратуре Российской Федерации", которым установлено, что органы прокуратуры в связи с осуществлением ими прокурорского надзора вправе получать в установленных случаях доступ к необходимой им для осуществления прокурорского надзора информации, доступ к которой ограничен в соответствии с федеральными законами, в том числе осуществлять обработку персональных данных;
- Федеральным законом от 12 августа 1995 г. N 144-ФЗ "Об оперативно-розыскной деятельности";
- Федеральным законом от 2 октября 2007 г. N 229-ФЗ "Об исполнительном производстве", согласно которому судебные приставы вправе запрашивать необходимые сведения, в том числе персональные данные, у физических лиц, организаций и органов, получать от них объяснения, информацию, справки;
- Федеральным законом от 3 апреля 1995 г. N 40-ФЗ "О Федеральной службе безопасности";
- Федеральным законом от 27 мая 1996 г. N 57-ФЗ "О государственной охране" и др.
Обязанность предоставить доказательство получения согласия абонента-гражданина на предоставление сведений о нем третьим лицам возлагается на оператора связи.
Оператор связи вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27 июля 2006 г. N 152-ФЗ. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных.
2. Норма п. 2 комментируемой статьи предусматривает право оператора создавать общедоступную базу данных. Вероятно, такая база будет создаваться в целях удобства пользования сетью связи другими абонентами.
Законодатель в рамках комментируемого Закона ничего не сообщает о полноте общедоступных данных абонента, о том, является ли перечень данных, представленный в статье (фамилия, имя, отчество, абонентские номера), исчерпывающим.
Положения Федерального закона от 27 июля 2006 г. N 152-ФЗ позволяют рассматривать в качестве общедоступных данных те из них, которые индивид сам представил в качестве общедоступных. Однако толкование в таком формате будет иметь расширительный характер. Вероятно, следует применять положения данной статьи только в ограничительном узком формате толкования, т.е. к общедоступным данным абонента следует относить только фамилию, имя, отчество, абонентские номера. Данный формат (правовой режим) отношений имеет место только в отношениях между оператором и абонентом-индивидом.
Отношения между оператором и абонентом-корпорацией (юридическим лицом) будут иметь иной правовой формат (режим). Деятельность юридического лица (корпорации) имеет преимущественно публичный характер. Основные сведения о наименовании абонента - юридического лица, фамилия, имя, отчество руководителя, а также адрес установки оконечного оборудования следует относить к категории общедоступных данных. В ходе регистрации корпорации (юридического лица) в органах государственной регистрации значительная часть перечисленных данных представляется лицами для регистрации и не может быть ограничена в обороте. Соответственно, общедоступность отдельных данных о юридическом лице (о руководителе и месте нахождения) обеспечивается не только нормами комментируемого Закона.
Комментируемая норма предусматривает наличие права требовать исключения из общедоступных баз данных сведений об абоненте-гражданине. Данное право является продолжением права субъекта персональных данных. Также предусмотрено наличие такого права у трех категорий субъектов: самого абонента, суда, иных уполномоченных органов Российской Федерации.