Wednesday, August 17, 2011

Об открытых данных и защите данных в Эстонии

… Я начал было писать комментарий к публикации Ивана Бегтина на Госбуке, понял, что комментарий будет невежливо длинным и решил написать отдельный пост...

В Эстонии с точки зрения регулирования информационных потоков важны 3 ключевых закона:

а) Закон об открытой (публичной) информации (принят в ноябре 2000 года);

б) Закон о защите персональных данных (принят в феврале 2007 года); в РФ контексте аналогичным является 152 ФЗ.

в) Директива о повторном использовании информации. Хотя в Законе об открытой информации это проблема уже была частично решена, но в настоящее время в ЕС действует специальная директива по защите такого рода информации, которую необходимо принимать во внимание. Как следствие, сейчас вырабатывается отдельная директива о свободном повторном использовании данных и в Эстонии.

Причем, что важно, в отличие от приведенных Иваном здесь примеров, в эстонском законе об открытой информации четко сказано (параграф 4 и др.), что «все, что отдельно не закрыто, то должно быть открыто». И доступ должен предоставляться бесплатно (за исключением отдельно оговоренных в законе случаев). Речь, понятно, тут идет о данных, которые генерирует и которыми владеет государство.

Гораздо более интересный вопрос здесь, на мой взгляд, – это как обеспечить эффективный обратный контроль со стороны гражданского общества за этим процессом. В том числе – за открытостью данных в контексте закона о защите перс данных.

В сущности, все данные, касающиеся личности человека, делятся на две большие группы (статистические данные мы исключаем, поскольку они не оказывают влияния на жизнь человека). Одна часть личных данных, которая касается его как гражданина, является общей (или публичной): место жительства, место работы, регистрация ребенка (в том числе и в случае усыновления), получение медицинских услуг и пр. Другая часть – это так называемые приватные (или деликатные) данные, которые по историческому опыту, могут быть использованы во вред человеку. К ним относятся: сведения о болезнях, вероисповедание, политические предпочтения, сексуальная ориентация и т.д. Иногда даже сведения о национальной принадлежности могут грозить опасностью. Такой печальный опыт истребления людей по этому признаку имел место в нацистской Германии, где была четкая система вычисления евреев и цыган по данным народонаселения страны. Или сведения о происхождении человека в СССР, где репрессии осуществлялись в отношении представителей дворянства или купечества. Поэтому для того, чтобы работать с приватными данными в Эстонии, т.е. создавать включающие их базы данных, в Эстонии требуется специальное разрешение от специально созданного Департамента по защите данных, который в настоящее время относится к Министерству юстиции. Этот департамент, согласно требованиям ЕС, должен быть независимым от исполнительной власти. В реальности, наша система государственного управления не позволяла это осуществить без изменения Конституции, что, как известно, процесс весьма трудоемкий. Поэтому при создании Департамента по защите прав в 1997 году он был отнесен к МВД Эстонии, но таким образом, чтобы министр не смог бы управлять Департаментом, а глава этого Департамента отчитывался бы регулярно перед Конституционной комиссией парламента Эстонии. Еще одной гарантией независимости работы Департамента по защите прав служило то, что назначение на должность его руководителя (равно как и снятие с нее) осуществлялось исключительно с согласия Конституционного совета парламента ЭР.

В 44 главе Конституции ЭР записано, что каждый гражданин Эстонии имеет право свободного доступа к своим данным, и это право обеспечивается государством. Такую возможность предоставляет x-Road (в РФ контексте наиболее близкий аналог – это СМЭВ. Именно аналог, поскольку между x-Road и СМЭВ есть принципиальные отличия), где используется ролевая модель доступа. Благодаря x-Road теперь каждый гражданин не только может ознакомиться со всеми своими данными, которые там имеются, но и узнать, кто еще интересовался этими данными, так как каждый запрос там фиксируется и оставляет свой след. То есть ты всегда можешь узнать, по каким вопросам ты вызвал интерес у полиции (можешь даже узнать номер полицейской машины, откуда был сделан запрос), кто пытался выяснить историю твоей болезни и т.д. Так, несколько лет назад из полиции была уволена женщина-следователь, которая помогла своей подруге разыскать ее бывшего мужа, уклоняющегося от уплаты алиментов. Муж, по «следам» в x-Road позже увидел, кто интересовался его данными, в т.ч. адресом.

Понятно, что данные должны быть открытыми. Такие, глубоко персональные, данные как моя история болезни должны быть открыты для отдельных ролей и без моего желания. Например, если я, не дай Бог, попал в аварию, нахожусь без сознания и не могу открыть врачам “Скорой помощи” доступ к своей истории болезни. Они, понятно, получают доступ и без моего разрешения. Но здесь важно, чтобы все участники знали, что после моего “возвращения в строй” я смогу детально проконтролировать кто именно и к каким именно данным получал доступ.  

3 comments:

  1. Насколько помню в x-Road не остаются следы от аналога СОРМа или ошибаюсь?

    ReplyDelete
  2. остаются... любой запрос оставляет след. но некоторые следы "до поры до времени" не видны. например, если против гражданина заведено уголовное дело, то во время ведения дела гражданин не видит, какие запросы по нему делаются в рамках этого дела. Но, после окончания дела, он опять все видит.

    ReplyDelete
  3. хорошо, когда выгодно делать так, как надо!

    ReplyDelete