Мы практически постоянно соприкасаемся с данными, представленными в цифровом формате. Эта информация окружает нас во всех сферах жизнедеятельности и персонифицирует как субъектов правоотношений. Покупаем ли мы кофе, расплачиваясь банковской картой, содержащей информацию о нашем банковском счете и количестве списанных средств, получаем государственную или муниципальную услугу в многофункциональном центре или подписываем договор с применением электронной цифровой подписи – каждое из этих действий сопровождается предоставлением определенной информации о нас как о субъекте. Совокупность цифровых данных, персонифицирующих субъекта, — это важная информация, которая может служить определенным целям. Характер и содержание этих целей может быть различным.
К примеру, внедряемая в Китае «Система социального кредита» анализирует персональные данные жителей Поднебесной на предмет соблюдения законодательства и своевременности внесения обязательных платежей. Конечный итог анализа — присвоение баллов, которые будут учитываться при сумме возможного кредита, доступности медицинских услуг, возможности выезда за границу, обучения в высших учебных заведениях и трудоустройства в государственные органы. Основной целью данной программы по предложению правительства КНР должно стать «построение гармоничного социалистического общества», однако в реальности данная система может рассматриваться как барьер, препятствующий реализации основных прав и свобод человека.
Другой пример сбора цифровой информации — определение кредитной истории и формирование кредитного отчета гражданина в США. Учитывая высокую степень развития финансовых институтов и повсеместность использования предоставляемых ими услуг, можно констатировать, что кредитная история является в определенной степени мерой социальной ответственности. Кредитная история включает в себя информацию как о самом гражданине, так и о имеющихся кредитных обязательствах и связанных с ними судебных решений, налоговых арестах и заявлениях о банкротстве. Хотя представленная система и не анализирует персональные данные, которые могут быть использованы при одобрении того или иного кредитного обязательства, она серьезно влияет на доступность определенных материальных благ, а соответственно, и на уровень жизни гражданина.
Характеризуя совокупность цифровых данных, стоит отметить, что к настоящему времени отсутствует наиболее полный и унифицирующий перечень информации, которая должна быть включена в подобную категорию. Помимо персональных данных, содержащихся в удостоверении личности гражданина (паспорте), сюда можно отнести данные лицевых счетов в банковских, медицинских, пенсионных учреждениях, личные идентификаторы в налоговой службе, данные о личном автотранспорте, службах государственного кадастра, данные из социальных сетей и прочее. В связи с этим вопрос законодательного регулирования использования данной информации приобретает особое значение.
Цифровой профиль россиян
В июле 2019 года в российскую Госдуму был внесен законопроект о создании цифрового профиля гражданина. В законопроекте говорится, что цифровой профиль является «совокупностью сведений о гражданах и юридических лицах, содержащихся в информационных системах государственных органов, органов местного самоуправления и организаций, осуществляющих в соответствии с федеральными законами отдельные публичные полномочия, а также в единой системе идентификации и аутентификации». В данном случае речь идет о совокупности сведений о гражданах и юридических лицах в Единой системе идентификации и аутентификации (ЕСИА) как основной платформе, содержащей юридически значимые сведения. На данный момент ЕСИА предоставляет лишь 21 вид данных о гражданах и юридических лицах. Предполагается, что законопроектом данный перечень будет расширен до 57 видов различной информации. Подчеркивается, что цифровой профиль и обеспечивающие его базы данных будут содержать лишь основную и критически важную информацию о гражданине и юридическом лице, а сопутствующая информация будет предоставляться по запросу из других баз данных.
Это наводит на мысль о том, что цифровой профиль гражданина является нормативной условностью и не объединяет в себе весь набор сведений, сосредоточенных в единой базе данных. Однако намечена тенденция на централизацию и сосредоточение всех критически важных персональных данных для целей, которые недостаточно законодательно определены.
Важнейшим вопросом является защита подобного рода информации. Существующее определение системы защиты персональных данных, предусмотренное Доктриной информационной безопасности, имеет достаточно пространное значение, предусматривающее состояние защищенности личности, общества и государства от внутренних и внешних информационных угроз. Специализированная же защита персональных данных, направленная на защиту данных цифрового профиля, к настоящему времени не создана.
С критикой законопроекта, касающейся приватности, выступила и Федеральная служба безопасности. По мнению ведомства, обработка данных в рамках единой инфраструктуры значительно повысит риски утечек информации, в том числе о судьях, прокурорах, следователях и сотрудниках силовых ведомств. «Обработка данных в рамках единой инфраструктуры значительно повышает риски их неправомерного сбора и распространения, а также разглашения информации о лицах, подлежащих государственной защите» — подчеркивает руководитель службы оперативной информации и международных связей ФСБ Сергей Беседа. Важной также является проблема актуализации данных, представленных в ЕСИА.
Минкомсвязь предложила обязать органы власти предоставлять в указанную систему актуальную информацию о гражданах в течение суток. Существующее положение обязывает указанные органы оперативно предоставлять актуализированные данные, но лишь при наличии технической возможности. Минкомсвязь же предлагает законодательно определить срок актуализации данных, ограничив его сутками. Техническая реализация данного предложения встретила определенные замечания со стороны представителей органов государственной власти, а также определенные вопросы, связанные с финансированием данных мероприятий. Наиболее проблемным ведомством, тормозящим передачу данных, считается МВД. «Известно, что подтверждение паспортных данных, например для операторов связи, через ЕСИА не работает в полной мере, поскольку текущие базы МВД не рассчитаны на такую нагрузку. Проекты модернизации систем МВД и других ведомств есть, но они до сих пор слабо увязаны между собой», — рассказал ведущий аналитик Российской ассоциации электронных коммуникаций.
В Госдуме к этому законопроекту также много вопросов. В частности, заключением Комитета Государственной Думы по федеративному устройству и вопросам местного самоуправления уточняется, что критически важно проработать системы защиты персональных данных, не допускающие их утечки и использования вопреки интересам как отдельных людей, так и общества и государства в целом. Также указывается, что необходимо будет проработать расчеты затрат федерального бюджета и бюджетов субъектов на представленные мероприятия в рамках национальной программы «Цифровая экономика Российской Федерации». В заключении Комитета Государственной Думы по государственному строительству и законодательству подчеркивается обязанность по интеграции инфраструктуры региональных цифровых профилей в федеральную систему, а также необходимость уточнения технических регламентов процедур по обновлению данных.
Помимо прочего, система цифрового профиля должна определенным образом удостоверить полномочия лица на определенные действия. В частности, законопроектом вводится термин идентификации и аутентификации лица, предполагающий совокупность мероприятий по сопоставлению сведений идентификатора с идентифицируемыми сведениями. Однако подробных сведений о технической реализации данного процесса в законопроекте нет.
Анализируя всю совокупность инициатив, касающихся цифрового профиля гражданина, следует сказать, что предлагаемое нормативное регулирование должно быть существенно дополнено технической регламентацией вводимых процедур, а также вопросами, связанными с финансовым обеспечением данного процесса как со стороны федерального, так и региональных бюджетов. Однако первостепенной задачей должно стать построение системы эффективной и надежной защиты персональных данных, включенных в построение экосистемы цифрового профиля. Данные инициативы должны быть дополнены представителями органов государственной власти, являющимися участниками национальной программы «Цифровая экономика Российской Федерации».
К примеру, внедряемая в Китае «Система социального кредита» анализирует персональные данные жителей Поднебесной на предмет соблюдения законодательства и своевременности внесения обязательных платежей. Конечный итог анализа — присвоение баллов, которые будут учитываться при сумме возможного кредита, доступности медицинских услуг, возможности выезда за границу, обучения в высших учебных заведениях и трудоустройства в государственные органы. Основной целью данной программы по предложению правительства КНР должно стать «построение гармоничного социалистического общества», однако в реальности данная система может рассматриваться как барьер, препятствующий реализации основных прав и свобод человека.
Другой пример сбора цифровой информации — определение кредитной истории и формирование кредитного отчета гражданина в США. Учитывая высокую степень развития финансовых институтов и повсеместность использования предоставляемых ими услуг, можно констатировать, что кредитная история является в определенной степени мерой социальной ответственности. Кредитная история включает в себя информацию как о самом гражданине, так и о имеющихся кредитных обязательствах и связанных с ними судебных решений, налоговых арестах и заявлениях о банкротстве. Хотя представленная система и не анализирует персональные данные, которые могут быть использованы при одобрении того или иного кредитного обязательства, она серьезно влияет на доступность определенных материальных благ, а соответственно, и на уровень жизни гражданина.
Характеризуя совокупность цифровых данных, стоит отметить, что к настоящему времени отсутствует наиболее полный и унифицирующий перечень информации, которая должна быть включена в подобную категорию. Помимо персональных данных, содержащихся в удостоверении личности гражданина (паспорте), сюда можно отнести данные лицевых счетов в банковских, медицинских, пенсионных учреждениях, личные идентификаторы в налоговой службе, данные о личном автотранспорте, службах государственного кадастра, данные из социальных сетей и прочее. В связи с этим вопрос законодательного регулирования использования данной информации приобретает особое значение.
Цифровой профиль россиян
В июле 2019 года в российскую Госдуму был внесен законопроект о создании цифрового профиля гражданина. В законопроекте говорится, что цифровой профиль является «совокупностью сведений о гражданах и юридических лицах, содержащихся в информационных системах государственных органов, органов местного самоуправления и организаций, осуществляющих в соответствии с федеральными законами отдельные публичные полномочия, а также в единой системе идентификации и аутентификации». В данном случае речь идет о совокупности сведений о гражданах и юридических лицах в Единой системе идентификации и аутентификации (ЕСИА) как основной платформе, содержащей юридически значимые сведения. На данный момент ЕСИА предоставляет лишь 21 вид данных о гражданах и юридических лицах. Предполагается, что законопроектом данный перечень будет расширен до 57 видов различной информации. Подчеркивается, что цифровой профиль и обеспечивающие его базы данных будут содержать лишь основную и критически важную информацию о гражданине и юридическом лице, а сопутствующая информация будет предоставляться по запросу из других баз данных.
Это наводит на мысль о том, что цифровой профиль гражданина является нормативной условностью и не объединяет в себе весь набор сведений, сосредоточенных в единой базе данных. Однако намечена тенденция на централизацию и сосредоточение всех критически важных персональных данных для целей, которые недостаточно законодательно определены.
Важнейшим вопросом является защита подобного рода информации. Существующее определение системы защиты персональных данных, предусмотренное Доктриной информационной безопасности, имеет достаточно пространное значение, предусматривающее состояние защищенности личности, общества и государства от внутренних и внешних информационных угроз. Специализированная же защита персональных данных, направленная на защиту данных цифрового профиля, к настоящему времени не создана.
- В России этого нет, и чтобы появилось, необходимо создать институт защиты приватности и в рамках него — независимый орган по защите приватности. Пока его нет, разговаривать о цифровом профиле бессмысленно — Саркис Дарбинян
С критикой законопроекта, касающейся приватности, выступила и Федеральная служба безопасности. По мнению ведомства, обработка данных в рамках единой инфраструктуры значительно повысит риски утечек информации, в том числе о судьях, прокурорах, следователях и сотрудниках силовых ведомств. «Обработка данных в рамках единой инфраструктуры значительно повышает риски их неправомерного сбора и распространения, а также разглашения информации о лицах, подлежащих государственной защите» — подчеркивает руководитель службы оперативной информации и международных связей ФСБ Сергей Беседа. Важной также является проблема актуализации данных, представленных в ЕСИА.
Минкомсвязь предложила обязать органы власти предоставлять в указанную систему актуальную информацию о гражданах в течение суток. Существующее положение обязывает указанные органы оперативно предоставлять актуализированные данные, но лишь при наличии технической возможности. Минкомсвязь же предлагает законодательно определить срок актуализации данных, ограничив его сутками. Техническая реализация данного предложения встретила определенные замечания со стороны представителей органов государственной власти, а также определенные вопросы, связанные с финансированием данных мероприятий. Наиболее проблемным ведомством, тормозящим передачу данных, считается МВД. «Известно, что подтверждение паспортных данных, например для операторов связи, через ЕСИА не работает в полной мере, поскольку текущие базы МВД не рассчитаны на такую нагрузку. Проекты модернизации систем МВД и других ведомств есть, но они до сих пор слабо увязаны между собой», — рассказал ведущий аналитик Российской ассоциации электронных коммуникаций.
В Госдуме к этому законопроекту также много вопросов. В частности, заключением Комитета Государственной Думы по федеративному устройству и вопросам местного самоуправления уточняется, что критически важно проработать системы защиты персональных данных, не допускающие их утечки и использования вопреки интересам как отдельных людей, так и общества и государства в целом. Также указывается, что необходимо будет проработать расчеты затрат федерального бюджета и бюджетов субъектов на представленные мероприятия в рамках национальной программы «Цифровая экономика Российской Федерации». В заключении Комитета Государственной Думы по государственному строительству и законодательству подчеркивается обязанность по интеграции инфраструктуры региональных цифровых профилей в федеральную систему, а также необходимость уточнения технических регламентов процедур по обновлению данных.
Помимо прочего, система цифрового профиля должна определенным образом удостоверить полномочия лица на определенные действия. В частности, законопроектом вводится термин идентификации и аутентификации лица, предполагающий совокупность мероприятий по сопоставлению сведений идентификатора с идентифицируемыми сведениями. Однако подробных сведений о технической реализации данного процесса в законопроекте нет.
Анализируя всю совокупность инициатив, касающихся цифрового профиля гражданина, следует сказать, что предлагаемое нормативное регулирование должно быть существенно дополнено технической регламентацией вводимых процедур, а также вопросами, связанными с финансовым обеспечением данного процесса как со стороны федерального, так и региональных бюджетов. Однако первостепенной задачей должно стать построение системы эффективной и надежной защиты персональных данных, включенных в построение экосистемы цифрового профиля. Данные инициативы должны быть дополнены представителями органов государственной власти, являющимися участниками национальной программы «Цифровая экономика Российской Федерации».