Облік населення і загальний особистий ідентифікаційний код. Переклад з англійської
Найважливіше рішення у сфері захисту інформації про особу було прийнято у 1991 році. Конституційний Суд повністю переглянув систему обліку населення і використання особистого ідентифікаційного коду. Рішення Конституційного Суду посилається на попередні рішення суду як загальну судову практику й одночасно дотримується особливої думки судді Шойома по першому рішенню у справі про особистий ідентифікаційний код, як власної позиції Суду.
Суд оголосив правила обліку населення неконституційними, оскільки вони дозволяють збирати інформацію про особу без будь-якої визначеної мети і не уточнюють їхнє подальше використання. З іншого боку, у рішенні стверджується, що використання без будь-яких обмежень різними державними і недержавними організаціями лише одного багатоцільового особистого ідентифікаційного коду є неконституційним. Мотивувальна частина рішення пропонує детально пророблені конституційні принципи захисту інформації про особу, а саме:
Конституційний Суд, дотримуючись власного рішення № 20 1990 року, тлумачить право на захист інформації про особу не як традиційне заступницьке право, а як право на інформаційне самовизначення, з належним обліком активного аспекту даного права.
Таким чином, право на захист інформації про особу, що гарантоване статтею 59 Конституції, означає, що кожний має право вільно приймати рішення щодо розкриття і використання інформації про себе. Тому для реєстрації і використання інформації про особу в загальному випадку необхідне схвалення зацікавленої особи; кожний повинен мати доступ до всього маршруту обробки і використання таких даних, тобто, кожний має право знати, хто, коли, де і з якою метою використовує інформацію про нього. У виняткових випадках Парламент може прийняти закон, що зобов’язує надавати інформацію про особу і передбачає порядок використання даної інформації. Такі парламентські закони обмежують основне право на інформаційне самовизначення і є конституційними лише в тій мірі, у якій вони відповідають умовам, зазначеним у статті 8 конституції.
Будь-яке законодавче положення, що, безвідносно до встановленого порядку, стосується збирання, збереження, обробки, передачі, розкриття, зміни, запобігання подальшого використання, створення нової інформації або будь-якого іншого використання інформації про особу (далі: обробки інформації про особу), повинне відповідати статті 59 Конституції, якщо включає гарантії забезпечення зацікавленій особі можливості відслідковувати маршрут інформації про себе під час її обробки і домагатися дотримання своїх прав. Отже, правові норми повинні забезпечити схвалення зацікавленої сторони на обробку інформації про себе і містити визначені конкретні гарантії для тих окремих випадків, коли обробка інформації може здійснюватися без згоди зацікавленої особи (можливо, навіть без повідомлення її про це). Дані правові норми, покликані контролювати дотримання гарантій, повинні ввести маршрут інформації в розумні межі.
Сувора відповідність меті, що зазначена законодавцем, є умовою й одночасно найважливішою гарантією реалізації права на інформаційне самовизначення. Це означає, що інформація про особу може оброблятися винятково з визначеною і встановленою законом метою. Кожна окрема стадія обробки інформації повинна відповідати офіційно проголошеній і спочатку затвердженій меті.
Зацікавлена особа має бути сповіщена про мету обробки інформації таким чином, щоб вона могла судити про вплив обробки інформації на її особисті права і приймати обґрунтовані рішення щодо надання інформації про себе; більше того, ця особа повинна мати можливість захисту своїх прав, якщо використання інформації про неї відхиляється від спочатку визначеної мети. За цією ж причиною зацікавлена особа повинна сповіщатися про будь-які зміни щодо мети обробки інформації про неї. Обробка інформації з новою метою без схвалення зацікавленої особи є законною тільки в тому випадку, якщо вона явно дозволена законом стосовно відповідної інформації і конкретного суб’єкта обробки інформації. З принципу суворої відповідності зазначеної законодавцем мети випливає також, що збір і збереження інформації без визначеної мети, «з метою збереження», для неуточненого використання надалі, є неконституційним.
Іншою основною гарантією є обмеження на передачу й опублікування інформації. (...). Інформація про особу може бути доступна третім особам, крім зацікавленої особи і первісного користувача інформації, а системи обробки інформації можуть з’єднуватися тільки в тому випадку, якщо виконані всі умови, необхідні для передачі інформації, у тому числі будь-якої одиниці даної інформації. Це може означати, що одержувач переданої інформації (той, хто запитує інформацію) повинен мати або передбачене законом повноваження на обробку переданої інформації, або дістати згоду зацікавленої особи. Зрозуміло, основною перешкодою для передачі інформації є сувора відповідність визначеній законодавцем меті. Вимога суворої відповідності визначеній законодавцем меті і зазначені вище умови зміни даної мети і передачі інформації також перешкоджають обміну інформацією усередині одного чи декількох адміністративних органів держави.
У законодавстві знайшла відображення концепція створення об’єднаного банку інформації про особу, що містить максимально широку базу даних про громадян, починаючи з інформації про стан здоров’я і власності, що належить громадянину, і закінчуючи його взаєминами з державними органами. Дана концепція вимагає обов’язкового введення особистого ідентифікаційного коду в систему обліку населення, а також у процедури державного управління й відправлення правосуддя.
Ще наприкінці 80-х років ця ідея використовувалася в концепціях створення державного відомства з обліку населення. Громадське обурення в США в середині 60-х років і у Франції і Західній Німеччині в 70-х роках призвело до відмови від здійснення подібних планів зі створення об’єднаного реєстру, керованого органами центрального уряду. Проблеми, які виникли у зв’язку зі створенням централізованих банків інформації, усюди послужили поштовхом до вживання законодавчих заходів із захисту інформації.
Відсутність суворої відповідності зазначеній законодавцем меті не може компенсуватися контролем за обміном інформацією на основі норм, що передбачають конкретні гарантії. Обумовленість передачі інформації виконанням певних умов і сувора відповідність зазначеній законодавцем меті являють собою суміжні, а не альтернативні гарантії права на інформаційне самовизначення. Принцип суворої відповідності меті, що зазначена законодавцем, повинен мати перевагу на всіх стадіях, від надання інформації до знищення її у певному досьє.
Неможливо знайти відповідне Конституції рішення в тому випадку, якщо один з компонентів конституційного права, сувора відповідність зазначеній законодавцем меті у відношенні централізованого об’єднаного банку інформації, що діє без визначеної мети, застосовується тільки до суб’єкта збору інформації. Так звана «юридична якість інформації» повинна бути присутньою на всіх стадіях її обробки. Недостатньо дотримання конкретних гарантій на певних стадіях обробки інформації, оскільки це не може компенсувати неконституційність інших стадій.
Незалежно від конституційності передачі інформації як такої, очевидно, що суб’єкт обробки інформації з невизначеною сферою збору інформації одержує доступ до інформації про особу у всій її повноті і взаємозв’язку. Це призводить до повного розкриття осіб, про яких збирається інформація, перед суб’єктом її обробки, а також забезпечує доступ до приватного життя зазначених осіб, і навіть більше того, призводить до такого нерівного становища сторін, коли особа, про яку збирається інформація, не знає, що саме знає про нього суб’єкт обробки такої інформації. Особливо часто порушення особистих прав викликаються так званим «портретом особистості», створеним з даних, вирваних з початкового контексту, тому запобігання подібних порушень повинне бути пріоритетом у судових рішеннях про правовий статус різних видів діяльності з обробки інформації, оскільки вони супроводжуються широкою, але недостатньо визначеною сферою збору інформації в процесі обробки інформації. У силу даних причин подібна обробка інформації є порушенням людської гідності.
Конституційний Суд не знайшов ніякого права, що захищається Конституцією, або інтересу, що робили б неминучим обмеження права на інформаційне самовизначення, гарантоване статтею 59 Конституції, за допомогою обробки інформації без визначеної мети, або які були б рівноцінні шкоді, що завдається подібною інформаційною системою. Тим більше не може визнаватися подібним інтересом ефективність державного управління, оскільки неможливо довести, що метод обробки інформації, який серйозно порушує право на інформаційне самовизначення, є єдино можливим способом для ефективного функціонування системи державного управління.
Дотримуючись цієї логіки, у рішенні Суду окремо розглянуті умови застосування особистого ідентифікаційного коду, що відповідають вимогам Конституції.
Загальний і одноманітний особистий ідентифікаційний код, використання якого є необмеженим (тобто, особисті ідентифікаційні коди привласнюються всім громадянам і резидентам країни відповідно до єдиного для всіх принципу), визнається неконституційним.
Значення одноманітного особистого ідентифікаційного коду полягає в тому, що він забезпечує просту і надійну ідентифікацію інформації про особу, а також її збір за допомогою короткого і технічно легко керованого коду, що є незмінним і не підлягає обміну з іншими особами. Таким чином, особистий код незмінно супроводжується будь-якою об’єднаною системою збереження інформації. Його введення в Угорщині й в інших країнах було частиною плану зі створення великих, централізовано керованих банків збереження даних. Крім того, одноманітний особистий код якнайкраще придатний для з’єднання, у необхідних випадках, інформації про особу, що міститься в різних реєстрах. Завдяки його застосуванню інформація стає легко доступною і може звірятися у випадку виявлення протиріч.
Подібні технічні переваги підвищують ефективність систем обробки інформації, що використовують особисті коди, а також ефективність відповідних адміністративних і технічних операцій. Аналогічним чином дана система заощаджує час і витрати осіб, зобов’язаних надавати інформацію, оскільки робить зайвим постійне оновлення наданої інформації.
Проте ці переваги пов’язані із серйозними погрозами для прав особистості, особливо для права на інформаційне самовизначення. Особливо небезпечним для прав особистості є особистий ідентифікаційний код. Якщо інформація виходить з різних баз даних, не «турбуючи» зацікавлену особу, в обхід її, то ця особа, таким чином, виключається з інформаційного потоку й обмежується або цілком позбавляється можливості відслідковувати маршрут і використання інформації про себе. Даний метод суперечить основному принципу захисту інформації, відповідно до якого інформація повинна бути отримана від зацікавленої особи і з її відома. Широке застосування особистого ідентифікаційного коду приводить до звуження сфери приватного життя, оскільки інформація навіть із найвіддаленіших систем збереження інформації, створених для різних цілей, може використовуватися для складання «портрету особистості», який є штучним образом, що поширюється на довільно відібрані дії особи і вторгається в її найбільш приватні справи; подібний портрет, оскільки він складається з даних, вирваних з контексту, як правило, буде перекрученим образом. Незважаючи на це, суб’єкт обробки інформації буде приймати на основі даного образу рішення, буде використовувати даний образ для створення і передачі подальшої інформації, що стосується відповідної особи. Велика кількість такої взаємозалежної інформації, про яку зацікавлена особа в більшості випадків навіть не здогадується, залишає особистість цілком беззахисною і створює нерівні умови в спілкуванні. Якщо одна сторона не знає, якою інформацією про неї володіє інша сторона, це створює принизливу ситуацію і перешкоджає вільному прийняттю рішень. Використання особистого ідентифікаційного коду призводить до надмірного зростання влади державних органів. Якщо особистий ідентифікаційний код може використовуватися у сферах, окрім тих, що пов’язані з державним управлінням, то це не просто дає суб’єкту обробки інформації владу над зацікавленою особою, але і веде до зростання влади самої держави, оскільки завдяки використанню даної інформації вона виходить за рамки будь-якого можливого контролю. Усе це взяте разом ставить під серйозну загрозу свободу самовизначення і людську гідність. Необмежене і безконтрольне застосування особистого ідентифікаційного коду може перетворитися у знаряддя тоталітарного контролю.
Логіка введення особистого ідентифікаційного коду суперечить основним елементам права на захист інформації, принципам розподілу інформаційних систем, суворій відповідності зазначеній законодавцем меті і, нарешті, основному правилу, відповідно до якого інформація повинна бути отримана від зацікавлених осіб з їхнього відома і згоди. Якщо послідовно дотримуватись принципів захисту інформації, особистий ідентифікаційний код втрачає своє значення, оскільки властиві йому «переваги» не зможуть знайти собі застосування.
Особистий ідентифікаційний код є технічно найбільш зручним інструментом для надійного з’єднання інформації про особу, наскільки дозволяють сучасні можливості обробки інформації. Зрозуміло, інформація про особу може бути пов’язана з прізвищем або, у разі потреби, з додатковими ідентифікаційними елементами, наприклад, прізвищем матері чи домашньою адресою. З огляду на сучасні можливості комп’ютерів, ступінь точності інформації про особу не являє собою серйозної проблеми. Проте «природна» інформація може змінюватися (наприклад, прізвище при укладанні шлюбу або при зміні прізвища), і цілком можливо, що наступна інформація вимагатиме додаткового розпізнання; крім того, у випадку інформації, що змінюється (скажімо, домашньої адреси), необхідно її постійне оновлення і відстеження. Відповідні технічні труднощі і витрати можуть скласти помітну статтю в аналізі порівняльних витрат і зисків від обробки інформації, що створює природне гальмо для невиправданого одержання даних, яке у протилежному випадку могло стимулюватися легкодоступними особистими ідентифікаційними кодами. Обмеження, що виникають із права на інформаційне самовизначення, застосовуються, зрозуміло, до усіх видів одержання й обробки інформації. Завдяки своїй технічній досконалості, особистий ідентифікаційний код вимагає введення додаткових гарантій, що врівноважують зростаючі небезпеки. Якщо інформація про особу оновлюється централізованою системою збереження інформації, що доступна в силу застосування особистого ідентифікаційного коду, то орган обробки інформації, відповідальний за функціонування подібної системи, наприклад, реєстру жителів, займає ключове положення, яке вимагає, відповідно, особливо точного регулювання його діяльності на основі правових гарантій.
Отже, за самою своєю природою особистий ідентифікаційний код піддає особливо серйозній небезпеці права окремої особистості. З першочергового обов’язку держави захищати основні права (стаття 8 Конституції) випливає, що цю погрозу необхідно звести до мінімуму, тобто застосування особистого ідентифікаційного коду повинне обмежуватися відповідними правилами безпеки. Це можна зробити двома способами: або застосування особистого ідентифікаційного коду повинне обмежуватися точно визначеними діями в обробці інформації, або доступність інформації, яка пов’язана з особистим ідентифікаційним кодом, і з’єднання систем збереження інформації, що використовують особистий ідентифікаційний код, повинні піддаватися суворим обмеженням і процедурам контролю. З іншого боку, не можна ігнорувати той факт, що будь-яке обмеження застосування загального й одноманітного особистого ідентифікаційного коду призводить до втрати змісту самого введення коду. Особистий ідентифікаційний код, доступний тільки для обмеженого застосування, більше не буде особистим ідентифікаційним кодом у відповідності з метою зазначеного закону.
Застосування особистого ідентифікаційного коду істотно відрізняється в окремих країнах. У багатьох країнах універсальний особистий ідентифікаційний код існує де факто в результаті безперешкодного введення і застосування особистих ідентифікаційних кодів, спочатку призначених для певних цілей. Власне коди вводилися спочатку з метою обліку населення або як коди соціального забезпечення. Прикладами першого є Бельгія, Данія, Ісландія, Нідерланди і Норвегія, а останнього – Фінляндія і Швейцарія. Шведський особистий код, що вважається класичним зразком універсального особистого коду, спочатку був реєстраційним номером у свідоцтві про народження. В інших країнах особисті коди заборонені чи навіть визнані неконституційними. У Португалії парламент прийняв у 1973 році закон, що передбачає введення універсального особистого ідентифікаційного коду, починаючи з 1975 року. Однак у статті 35(2) Конституції 1976 року, що була прийнята після падіння фашистського режиму, забороняється з’єднання систем збереження інформації про особу, а відповідно до параграфа 5 цієї ж статті: «Забороняється присвоювати громадянам єдині на всій території держави особисті коди». У Франції й у Федеративній Республіці Німеччина невдоволення громадськості ідеєю реєстру населення з застосуванням особистого ідентифікаційного коду призвело в 1978 році до опублікування законів про захист інформації і забороні на створення об’єднаних систем збереження інформації і введення особистого ідентифікаційного коду.
Федеральний Конституційний Суд ФРН ще в 1969 році заявив, що «реєстрація і каталогізація громадян, яка впливає на особистість даних громадян у цілому», несумісні з основним правом на людську гідність, на що держава не має права навіть за умови анонімності одержання статистичної інформації (BVerfGE 27.01.06), а так зване «рішення щодо перепису населення», у якому в 1983 році було сформульовано право на інформаційне самовизначення, визнає введення особистого ідентифікаційного коду «рішучим кроком» на шляху до створення портрета особистості, необхідність запобігання якого вказується як мета навіть в інших актах, що передбачають обмеження права на інформаційне самовизначення (BVerfGE 65.1.27,53,57).
Між цими двома крайнощами знаходяться держави, у яких деякі особисті коди використовуються з метою, що відрізняється від спочатку зазначеної. Однак цим кодам успішно перешкодили перетворитися на універсальні. (Так відбулося, наприклад, у Франції, де ідентифікаційний код, що привласнюється Національним центром економічних і статистичних досліджень кожній особі, що народилася у Франції, не перетворився на загальний особистий ідентифікаційний код; подібні правові обмеження були накладені на застосування кодів соціального забезпечення в Канаді).
Небезпеки, яким піддається особистість за допомогою електронної обробки інформації, були широко визнані ще у 70-і роки. З цього часу особистий ідентифікаційний код перетворився на символ тотального контролю над громадянами, надання переваги голій технічній ефективності і зведення особистостей до статусу об’єктів.
Хоча особистий ідентифікаційний код залишається всього тільки інструментом, і його роль можна оцінити лише на загальному тлі правового регулювання обробки інформації, однак його введення або застосування виявилося цілком достатнім, щоб спровокувати конфлікт між двома системами цінностей: переваги технічних можливостей або прав особистості. Він закінчився прийняттям чіткої правової норми, відповідно до якої загальновизнаною вимогою стало обмеження застосування особистого ідентифікаційного коду, і подібні обмеження почалися навіть у тих країнах, де особистий ідентифікаційний код був уведений ще задовго до епохи усвідомлення значимості захисту інформації. (Достатньо звернутися, наприклад, до доповіді експертної комісії Ради Європи з захисту інформації: «Введення і застосування особистого коду: проблеми захисту інформації»; Страсбург, 15 грудня 1989 року). Навіть застосування загальних принципів захисту інформації, подібних до таких, що застосовуються до будь-якої іншої інформації про особу, є обмеженням застосування особистого ідентифікаційного коду. Це означає, що будь-яка особа, яка вимагає розкриття особистого ідентифікаційного коду, повинна мати для цього передбачену законом підставу; у випадку відсутності такої підстави ніхто не може бути позбавлений права відмовитися від розкриття свого особистого ідентифікаційного коду. Хоча особистий ідентифікаційний код не повинний містити конфіденційних даних (наприклад, про етнічне походження або про релігійну приналежність), але все частіше лунають вимоги, щоб він не був також «кодом-зрадником», тобто, щоб він не розкривав таку інформацію, як дату чи місце народження. Застосування особистого ідентифікаційного коду повинне бути точно визначено й обмежено законом, а процес його застосування підлягає контролю і нагляду з боку незалежних посадових осіб з захисту інформації. Проте, крім виконання цих загальних вимог, властиві особистому ідентифікаційному коду загрози для прав особистості повинні врівноважуватися також спеціальними гарантіями. Наприклад, створення підрозділів зі збереження інформації і досьє з застосуванням особистого ідентифікаційного коду вимагає спеціального дозволу в Норвегії, а у певних підрозділах, що пов’язані зі збереженням досьє, використання цих кодів заборонено. З’єднання реєстрів із застосуванням особистого ідентифікаційного коду підлягає особливо суворим обмеженням і нагляду, а зацікавлені особи повинні мати до них доступ. Подібні обмеження введені, наприклад, шведським відомством із захисту інформації.
Гарантії, що відносяться до застосування особистого ідентифікаційного коду, повинні мати пріоритет у випадку його використання в різних документах (наприклад, посвідчення особи, паспорт або права водія), а з відповідними виправленнями, й у випадку використання особистих кодів в інших сферах (коди пенсійного і соціального забезпечення).
Конституційний Суд установив, що універсальний особистий ідентифікаційний код за самою своєю природою суперечить праву на інформаційне самовизначення. Таким чином, відповідає Конституції тільки застосування особистого ідентифікаційного коду, що обмежене обробкою інформації з визначеною законом метою. Закон, що передбачає введення подібних «особистих кодів» з обмеженим застосуванням, повинен містити гарантії організаційного і контрольного характеру, що дозволять виключити застосування коду в інших цілях і в інших ситуаціях, ніж передбачено у законі. Ані «державний сектор», ані державне управління в цілому не можуть бути визнані єдністю, у межах якої може вводитися чи застосовуватися єдиний і одноманітний особистий ідентифікаційний код». [15/1991.(IV.13.)ABH.]