Конструкция права на обеспечение конфиденциальности и целостности информационно-технологических систем (сокращенно - IT-право[1]), как и права на информационное самоопределение, обязана своим появлением деятельности ФКС Германии.

IT-право было впервые сформулировано ФКС Германии в Постановлении по делу об онлайн-обысках 2008 года (Urteil zu Online-Durchsuchung) , где предметом рассмотрения стало положение Закона земли Северный Рейн- Вестфалия об охране конституции. Соответствующее положение закрепляло за ведомством по охране конституции полномочие по осуществлению тайного проникновения с использованием технических средств в информационнотехнологические системы (далее - IT-системы) с целью сбора данных. Такое проникновение получило название «онлайн-обыска» («Online-Durchsuchung»). Оспариваемое законодательное положение было признано ФКС Германии несовместимым с Основным законом и ничтожным, так как, предусматривая вмешательство в основное право, оно не удовлетворяло требованию ясности норм, принципу пропорциональности и не содержало достаточных мер для защиты ядра (основного содержания) частного образа жизни.

IT-право, как и право на информационное самоопределение, было выведено из общего права на свободу личности, которое, выполняя функцию восполнения пробелов (luckenfullende Funktion), гарантирует, в том числе, конфиденциальность и целостность IT -систем .

Необходимость формулирования IT-права была обоснована ФКС Германии тем, что иные конституционные гарантии - право на тайну телекоммуникаций (статья 10), право на неприкосновенность жилища (статья 13), а также уже получившие признание элементы общего права на свободу личности (в частности, защита сферы частной жизни и право на информационное самоопределение) - не учитывают в достаточной степени потребность в защите, которая возникает у лица, вынужденного для развития своей личности использовать IT-системы[2] [3] [4]. При этом увеличивающееся распространение подключенных к сети IT-систем (vernetzte informationstechnische Systeme) создает наряду с новыми возможностями по развитию личности новые угрозы личности, которые усиливаются в особенности, когда речь идет о подключенных к сети Интернет IT-системах[5].

В доктрине подход ФКС Германии, пошедшего по пути признания нового права, призванного восполнить обнаруженный пробел в конституционно-правовой защите, был встречен неоднозначно. Одни исследователи поддержали указанный подход[6], другие - усомнились в обоснованности формулирования IT-права, посчитав, что защита персональных данных, содержащихся в IT-системах, охватывается уже существующими конституционными правами, в частности, правом на информационное самоопределение[7].

Представляется возможным согласиться с точкой зрения Г. Хорнунга (G. Hornung), который полагает, что на основании одного Постановления по делу об онлайн-обысках, вряд ли возможно однозначно ответить на вопрос о том, нужно ли было формулировать новое основное право, и обращает внимание на необходимость его дальнейшей догматической разработки[8].

Указанные выше расхождения ученых в оценках IT-права связаны именно с появлением новой юридической конструкции, при этом идея о том, что персональные данные, содержащиеся в IT-системах, нуждаются в конституционноправовой защите, сомнению не подвергается.

Оставляя в стороне доктринальные споры о том, насколько необходимо было формулирование нового основного права, следует отметить значение Постановления по делу об онлайн-обысках, которое «продолжает непрерывную линию решений высшего немецкого суда, в которых убедительно отстаивается важность основных прав индивида по отношению к вмешательствам в них на основании политики внутренней безопасности»[9].

Хотя ФКС Г ермании воздержался от того, чтобы дать определение понятию «IT-система», он провел разграничение между IT-системой, которая позволяет производить, обрабатывать и хранить данные (любая IT-система), и сложной IT- системой, которая позволяет знакомиться с существенными сторонами образа жизни лица или вовсе получить информативный личностный портрет (например, персональный компьютер, мобильные телефоны и электронные ежедневники с широким набором функций)[10]. Только на последнюю распространяется защита, предоставляемая IT-правом.

Предметная сфера защиты IT-права охватывает два направления: во-первых, рассматриваемое право направлено на защиту интереса пользователя по сохранению конфиденциального характера данных, произведенных, обработанных и сохраненных в IT-системе; во-вторых, оно призвано защитить целостность IT- системы от таких вмешательств, в результате которых мощности, функции и содержимое памяти IT-системы могут быть использованы третьими лицами[11].

По своему содержанию первое направление в известной степени сопоставимо с правом на информационное самоопределение, в сферу защиты которого входят персональные данные. Соответственно возникает вопрос о размежевании этих двух прав. ФКС Германии было предложено следующее: если право на информационное самоопределение защищает отдельные данные, то IT- право защищает от вмешательства в IT-систему целиком[12]. Необходимо отметить, что предложенный принцип был воспринят в литературе весьма критично, в первую очередь потому, что он не дает точного критерия для разграничения сфер защиты этих прав[13]. Такой подход, в том числе, поднимает вопрос о минимальном количестве данных, при котором осуществляется перемещение из сферы защиты права на информационное самоопределение в сферу защиты IT-права[14].

Второе направление, преследуя цель обеспечения целостности IT-системы, оказывается за рамками защиты, предоставляемой правом на информационное самоопределение, так как не связано непосредственно с фактом затронутости персональных данных. Вмешательством в IT-право будут являться, в том числе, такие мероприятия, в результате которых целостность IT-системы была нарушена, однако сбора персональных данных не произошло (при этом не имеет значения, по какой причине сбор данных не был осуществлен: в связи с тем, что цель сбора не ставилась, или в связи с тем, что ее не удалось достичь)[15].

Включение в сферу защиты нового права IT-систем воспринимается некоторыми исследователями настороженно, вероятно, потому, что они опасаются формирования «обезличенного техникоориентированного основного права» («apersonales technikorientiertes Grundrecht»)[16] [17] [18]. Так, например, Г. Манссен отмечает, что IT-право предполагает не защиту решений и состояний, имеющих непосредственное отношение к личности человека, а защиту ожиданий, предъявляемых к объекту, то есть защиту от того, что никто не просматривает данные, которые находятся в IT-системе, или от того, что объект, который используется для обработки данных, не подвергается манипуляциям . В. Хоффманн-Рим, который являлся судьей-докладчиком по делу об онлайн-обысках, считает такие опасения неоправданными, указывая, что IT-системы защищаются основным правом не сами по себе, а только в той мере, в которой их конфиденциальность и целостность имеют отношение к личности .

IT-право не является безграничным, и вмешательства в него как в превентивных целях, так и в целях уголовного преследования могут быть оправданы; лицо, однако, должно безоговорочно принимать только такие ограничения, которые основываются на соответствующем конституции

219

законодательном регулировании .

Тайное проникновение в IT-системы, представляющее собой вмешательство в IT-право, как таковое не было признано неконституционным; вместе с тем были определены строгие конституционно-правовые рамки его допустимости.

Так, ФКС Германии указал, что тайное проникновение в IT-системы может быть оправдано при соблюдении следующих условий, сопряженных с наличием:

фактических оснований предполагать существование конкретной

опасности, угрожающей правовой ценности первостепенной важности. К числу таких ценностей ФКС Германии в первую очередь относит жизнь и свободу лица; кроме того, такие общественные блага, угроза которым затрагивает основы или целостность государства или основы существования человека (например, исправность основных частей публичных систем

жизнеобеспечения)[19] [20] [21];

достаточных процедурных гарантий, учитывающих интенсивность вмешательства. По общему правилу, тайное проникновение в IT-системы допустимо только на основании судебного решения, полученного до проведения мероприятия. При этом заслуживает внимания тот факт, что для ФКС Германии важно не само по себе формальное наличие предварительного судебного контроля, а именно его эффективность в деле обеспечения прав субъектов, подвергающихся вмешательству. Так, ФКС Г ермании указывает, что судья должен обстоятельно проверить правомерность предусмотренных

мероприятий и письменно зафиксировать основания (причины), послужившие

221

принятию соответствующего решения ;

достаточных мер по защите ядра частного образа жизни[22].

Следует отметить, что концепция ядра частного образа жизни, наличие достаточных мер по защите которого рассматривается ФКС Г ермании в качестве условия, определяющего допустимость вмешательства в IT-право, первоначально получила развитие применительно к основным правам, закрепленным в статьях 10 и 13 Основного закона . К ядру частного образа жизни ФКС Германии относит такую сферу, которая охватывается гарантией достоинства человека и потому подлежит абсолютной защите[23] [24] [25] [26]. При этом к ядру частного образа жизни относится возможность выражать внутренние процессы, такие, как чувства и эмоции, а также размышления, мнения и переживания сугубо личного характера, не опасаясь, что государство за этим наблюдает .

Для защиты ядра частного образа жизни ФКС Г ермании в Постановлении по делу об онлайн-обысках была разработана двухступенчатая система защиты. Первая ступень предполагает, что по общему правилу необходимо воздерживаться от сбора данных, имеющих отношение к ядру частного образа жизни, в том числе посредством использования доступных информационно-технических средств. Вторая ступень задействуется, если сбор таких данных не представляется возможным исключить, при этом особое значение отводится процедуре их просмотра: если будут обнаружены данные, имеющие отношение к ядру частного

образа жизни, они подлежат немедленному уничтожению, а их передача и

226

использование исключаются .

Применительно к вопросу о том, как IT-право соотносится с другими основными правами, в сферу защиты которых входят персональные данные, ФКС Германии указал, что оно «защищает от вмешательств в IT-системы только постольку, поскольку защита не гарантирована другими основными правами, в частности статьями 10 или 13 Основного закона, а также правом на информационное самоопределение»[27] [28]. Вывод о субсидиарном характере IT-права,

который может быть сделан на основании цитаты из решения органа

228

конституционного контроля , соответствует рассуждениям последнего о том, что в сферах защиты других прав обнаруживаются пробелы применительно к IT- системам.

Вместе с тем в Постановлении по делу об онлайн-обысках в центре внимания Конституционного суда Германии находилось формулирование сферы защиты IT- права, а не решение вопроса о его соотношении с иными основными правами. Соответственно данный вопрос, как отмечается в литературе, нуждается в дальнейшей проработке[29] [30] [31] [32]. Так, Г. Хорнунг указывает, что соотношение IT-права c правом на информационное самоопределение до сих пор не определено

230

однозначно .

Оправданным представляется получивший развитие в литературе подход, согласно которому в тех случаях, когда сферы защиты этих прав пересекаются, применению будет подлежать IT-право, являющееся специальным по отношению к праву на информационное самоопределение .

IT-право рассматривается в литературе не только в качестве оборонительного права, за ним признается и выполнение защитной функции . Государство должно как само воздерживаться от вмешательства в конфиденциальность и целостность IT-систем, так и одновременно создавать условия, чтобы конфиденциальность и целостность были гарантированы от проникновений в IT-системы со стороны частных субъектов[33]. В пользу признания за IT-правом защитной функции выступают сама формулировка данного права, в которой слово «обеспечение» указывает на ответственность государства[34] [35] [36], а также тот факт, что оно было выведено из общего права на свободу личности, у которого

235

наличие защитной функции признано давно .

Следует, однако, учитывать, что законодатель при выполнении обязанностей по защите (Schutzpflichten) наделен широкой свободой усмотрения (weiter Entscheidungsspielraum), что, соответственно, означает отсутствие у лица права требовать установления каких-то конкретных мер, как, например, специальной уголовно-правовой защиты от хакерства или предоставления конкретного программного обеспечения для защиты систем. Однако обе эти меры можно

236

рассматривать в качестве потенциально возможных со стороны государства .

В литературе за IT-правом признается также опосредованное действие в частном праве[37]. Так, IT-право подлежит учету в рамках трудовых отношений (например, при осуществлении работодателем мероприятий, предполагающих открытый или тайный доступ к IT-системам работника)[38] [39] [40], при оказании услуг по хранению данных в облаке . В качестве еще одного из возможных примеров опосредованного действия рассматриваемого права в частном праве называется его влияние на определение действительности Общих условий заключения сделки (allgemeine Geschaftsbedingungen)240. Согласно § 307 Гражданского Уложения Германии[41] положения в Общих условиях заключения сделок могут быть недействительны, если они несоразмерно ставят в невыгодное положение выступающего стороной по договору пользователя вопреки принципу добросовестности. Взвешивание интересов, как отмечают А. Роснагель (A. Rofinagel) и К. Шнабель (Ch. Schnabel), должно, в том числе, учитывать IT-право. Как следствие, небесспорной представляется бизнес-модель, при которой пользователь за получение программного обеспечения в бесплатное пользование обязан в рамках Общих условий заключения сделок выразить согласие на осуществление наблюдения за его поведением и его анализа. Даже если соответствующие данные будут передаваться анонимизированными и таким образом право на информационное самоопределение не будет нарушаться, пользователь все равно потеряет частично контроль за своей IT-системой, если опция по наблюдению за его поведением и его анализу не может быть

242

деактивирована .

До настоящего времени единственным решением, в котором IT-право получило развернутую конституционно-правовую характеристику, остается Постановление по делу об онлайн-обысках. Данное обстоятельство, однако, не означает, что ФКС Г ермании отказался от этой юридической конструкции или она утратила свое значение. Указания на IT-право как гарантированное Основным законом право обнаруживаются в решениях ФКС Германии, хотя и довольно нечасто.

В принятом недавно Постановлении 2016 года , в котором рассматривались положения Закона о Федеральном управлении уголовной полиции[42] [43] [44], на соответствие IT-праву проверялся § 20k названного Закона, определявший порядок осуществления тайного проникновения в IT-систему. Важно понимать, что при формулировании оспариваемого параграфа законодатель старался учитывать требования, сформулированные ФКС Германии в Постановлении по делу об

онлайн-обысках. Орган конституционного контроля постановил, что § 20k Закона о Федеральном управлении уголовной полиции в части условий вмешательства в IT-право является конституционным, в части же мер по защите ядра частного образа жизни - является не совместимым с Основным законом .

[1] Следует отметить, что в юридической литературе употребляются два сокращенных названия данного права - компьютерное основное право (Computer-Grundrecht) и IT-право (IT-Grundrecht). Вместе с тем оба из них с юридической точки зрения не являются точными и способны ввести в заблуждение. Подробнее со ссылками на литературные источники см.: Gersdorf H. Kommentar zu Art. 2 GG // Beck'scher Online-Kommentar Informations- und Medienrecht / H. Gersdorf, B.P. Paal (Hrsg.). 14. Edition. Munchen: C.H. Beck. Stand: 1.11.2016. Rn. 22. Zugriff uber beck- online (01.12.2016). С учетом изложенного используемое в настоящей работе сокращенное название - IT-право - вводится исключительно с целью удобства изложения. Как отмечает В. Хоффманн-Рим, оно лучше, чем название «компьютерное основное право», хотя тоже непригодно в качестве юридического понятия. См.: Hoffmann-Riem W. Der grundrechtliche Schutz der Vertraulichkeit und Integritat eigengenutzter informationstechnischer Systeme, Der grundrechtliche Schutz der Vertraulichkeit und Integritat eigengenutzter informationstechnischer Systeme // JuristenZeitung. 2008. Heft 21. S. 1014.

[2] BVerfGE 120, 274.

[3] Ibid. (313).

[4] Ibid. (306-313).

[5] Ibid. (305).

[6] См., напр.: Bockenforde Th. Auf dem Weg zur elektronischen Privatsphare // JuristenZeitung. 2008. Heft 19. S. 925-939; Hoffmann-Riem W. Der grundrechtliche Schutz der Vertraulichkeit und Integritat eigengenutzter informationstechnischer Systeme; Petri Th. Das Grundrecht auf Gewahrleistung der Vertraulichkeit und Integritat informationstechnischer Systeme // 17. Wiesbadener Forum Datenschutz: Vortrage, 2009. URL: https://www.datenschutz.hessen.de/forum2009.htm#fn83 (дата обращения: 26.09.2016). Подробный анализ IT-права представлен в двух следующих диссертациях: Hauser M. Das IT-Grundrecht. Schnittfelder und Auswirkungen. Duncker & Humblot, 2015; Heinemann M. Op. cit.

[7] См., напр.: Gersdorf H. Op. cit. Rn. 23; EifertM. Informationelle Selbstbestimmung im Internet - Das BVerfG und die Online-Durchsuchungen // Neue Zeitschrift fur Verwaltungsrecht. 2008. Heft 5. S. 521-522; Gurlit E. Op. cit. S. 1037.

[8] Hornung G. Ein neues Grundrecht: Der verfassungsrechtliche Schutz der «Vertraulichkeit und Integritat informationstechnischer Systeme» // Computer und Recht. 2008. Heft 5. S. 302.

[9] Kutscha M. Mehr Schutz von Computerdaten durch ein neues Grundrecht? // Neue Juristische Wochenschrift. 2008. Heft 15. S. 1044.

[10] BVerfGE 120, 274 (313-314).

[11] Ibid. (314).

[12] Ibid. (313).

[13] См., напр.: EifertM. Op. cit.; Gurlit E. Op. cit. S. 1037.

[14] Gersdorf H. Op. cit. Rn. 25.

[15] Подробнее см.: Hornung G. Ein neues Grundrecht: Der verfassungsrechtliche Schutz der «Vertraulichkeit und Integritat informationstechnischer Systeme». S. 303.

[16] С последующими ссылками на литературные источники см.: Hoffmann-Riem W. Der grundrechtliche Schutz der Vertraulichkeit und Integritat eigengenutzter informationstechnischer Systeme. S. 1015.

[17] Manssen G. Das «Grundrecht auf Vertraulichkeit und Integritat informationstechnischer Systeme» - Ein gelungener Beitrag zur Findung unbenannter Freiheitsrechte? S. 69.

[18] Hoffmann-Riem W. Der grundrechtliche Schutz der Vertraulichkeit und Integritat eigengenutzter informationstechnischer Systeme. S. 1012.

[19] BVerfGE 120, 274 (315).

[20] Ibid. (328).

[21] Ibid. (331-332).

[22] Ibid. (335).

[23] См. со ссылками на решения ФКС Германии: Gusy Ch. Gewahrleistung der Vertraulichkeit und Integritat informationstechnischer Systeme // Datenschutz und Datensicherheit. 2009. Heft 1. S. 40.

[24] Вопросы об определении содержания понятия «ядро частного образа жизни» и о том, какие положения Основного закона гарантируют его защиту, является в литературе достаточно спорным и до настоящего времени недостаточно исследованным. Подробнее об этом см., напр.: Baldus M. Der Kernbereich privater Lebensgestaltung - absolut geschutzt, aber abwagungsoffen // JuristenZeitung. 2008. Heft 5. S. 218-227; Desoi M., Knierim A. Op. cit.

[25] BVerfGE 120, 274 (335).

[26] Ibid. (338-339).

[27] Ibid. (302 ff.). Данная позиция к определению соотношения прав между собой получила отражение и в Решении ФКС Германии по делу о выемке сообщений электронной почты (Beschlagnahme von E-Mails) 2009 года. См.: Beschluss des zweiten Senats des Bundesverfassungsgerichts vom 16. Juni 2009 - 2 BvR 902/06 // BVerfGE 142, 43 (57).

[28] Подробнее об этом со ссылками на литературные источники см.: HauserM. Op. cit. S. 197-198.

[29] Bockenforde Th. Op. cit. S. 927-928; Hauser M. Op. cit. S. 154, 196.

[30] Hornung G. Grundrechtsinnovationen. S. 450, 537.

[31] Со ссылками на литературные источники см.: HauserM. Op. cit. S. 198, 342.

[32] Petri Th. Das Grundrecht auf Gewahrleistung der Vertraulichkeit und Integritat informationstechnischer Systeme; Rofinagel A., Schnabel Ch. Das Grundrecht auf Gewahrleistung der Vertraulichkeit und Integritat informationstechnischer Systeme und sein Einfluss auf das Privatrecht // Neue Juristische Wochenschrift. 2008. Heft 49. S. 3534; Tinnefeld M.-T. Freiheit in der digitalen Gesellschaft? Zu den Bedingungen von Selbstbestimmung und Kommunikation // Recht der Datenverarbeitung. 2009. Heft 2. S. 49; Schulz G. Das neue IT-Grundrecht - staatliche Schutzpflicht und Infrastrukturverantwortung // Datenschutz und Datensicherheit. 2012. Heft 6. S. 396.

[33] Gusy Ch. Gewahrleistung der Vertraulichkeit und Integritat informationstechnischer Systeme. S. 37, 41.

[34] Hoffmann-Riem W. Der grundrechtliche Schutz der Vertraulichkeit und Integritat eigengenutzter informationstechnischer Systeme. S. 1016.

[35] Kutscha M. Das «Computer-Grundrecht» - eine Erfolgsgeschichte? // Datenschutz und Datensicherheit. 2012. Heft 6. S. 393.

[36] Hornung G. Ein neues Grundrecht: Der verfassungsrechtliche Schutz der «Vertraulichkeit und Integritat informationstechnischer Systeme». S. 305. Также об обязанностях государства применительно к защите IT-права с указанием возможных мер в целях исполнения соответствующих обязанностей см.: HeinemannM. Op. cit. S. 209-213. Анализ действующего законодательства на предмет того, какие нормы призваны обеспечивать защиту конфиденциальности и целостности IT-систем в частноправовых отношениях, см.: Wehage J.-Ch. Das Grundrecht auf Gewahrleistung der Vertraulichkeit und Integritat informationstechnischer Systeme und seine Auswirkungen auf das Burgerliche Recht. Gottingen: Universitatsverlag Gottingen, 2013. S. 159-206.

[37] Подробно об этом см.: Conrad I. Recht des Datenschutzes // Handbuch IT - und Datenschutzrecht / A. Auer-Reinsdorff, I. Conrad (Hrsg.) / in Zusammenarbeit mit DAV IT-Recht. 2. Aufl. Munchen: C.H. Beck, 2016. § 34 Rn. 90-96; Heinemann M. Op. cit. S. 214-216; Rofinagel A., Schnabel Ch. Op. cit. S. 3534-3538.

[38] Со ссылками на литературные источники см.: Heinemann M. Op. cit. S. 215-216.

[39] Об этом см.: Hansen M. Vertraulichkeit und Integritat von Daten und IT-Systemen im Cloud-Zeitalter // Datenschutz und Datensicherheit. 2012. Heft 6. S. 407-412.

[40] Rofinagel A., Schnabel Ch. Op. cit. S. 3537.

[41] Burgerliches Gesetzbuch vom 18. August 1896 in der F assung der Bekanntmachung vom 2. Januar 2002 zuletzt geandert am 24. Mai 2016 // RGBl. S. 195; BGBl. I S. 42, 2909; 2003 I S. 738; BGBl. I S. 1190.

[42] Rofinagel A., Schnabel Ch. Op. cit. S. 3537.

[43] Urteil des Ersten Senats des Bundesverfassungsgerichts vom 20. April 2016 - 1 BvR 966/09, 1 BvR 1140/09. URL: http://www.bverfg.de/e/rs20160420 1bvr096609.html (26.09.2016).

[44] Gesetz uber das Bundeskriminalamt und die Zusammenarbeit des Bundes und der Lander in kriminalpolizeilichen Angelegenheiten (Bundeskriminalamtgesetz - BKAG) vom 7. Juli 1997 zuletzt geandert am 31. August 2015 // BGBl. I S. 1650; BGBl. I S. 1474.