CC BY
37ИНФОРМАЦИОННО-ПРАВОВЫЕ ВОПРОСЫ ИДЕНТИФИКАЦИИ ПРИ ИСПОЛЬЗОВАНИИ ЦИФРОВОГО ПРОФИЛЯ
НАУМОВ Виктор Борисович,
кандидат юридических наук, старший научный сотрудник сектора информационного права
и международной информационной безопасности Института государства и права Российской академии наук (ИГП РАН). E-mail: [email protected]
Исследование выполнено при финансовой поддержке РФФИ в рамках научного проекта № 18-29-16013 «Исследование концептуальных подходов к формированию системы правового регулирования обеспечения информационной безопасности в условиях больших вызовов в глобальном информационном обществе».
Краткая аннотация: В статье рассматриваются информационно-правовые проблемы формирования цифрового профиля в контексте процессов идентификации. Автор отмечает, что в настоящее время отсутствует правовое регулирование отношений, связанных с цифровым профилем, а существующие концепции его формирования не учитывают ряд проблемных вопросов, включая учет его правовой сущности и неурегулированность такой смежной сферы как большие данные. Создание цифрового профиля также потребует развития обеспечения безопасности обработки данных. На основе анализа существующих подходов в работе предложены авторское определение цифрового профиля и идеи по поэтапному формированию законодательства об идентификации и цифровом профиле.
Abstract: The article deals with information and legal problems of forming a digital profile in the context of identification processes. The author notes that at present there is no legal regulation of relations related to the digital profile, and the existing concepts of its formation do not take into account a number of problematic issues, including taking into account its legal essence and the unresolved nature of such a related area as big data. The creation of a digital profile will also require the development of data processing security. Based on the analysis of existing approaches, the author's definition of a digital profile and ideas for the step-by step development of legislation on identification and digital profile are proposed.
Ключевые слова: информационное право, институт идентификации, цифровой профиль, персональные данные, цифровые технологии.
Keywords: information law, institution of identification, digital profile, personal data, digital technologies.
Тотальное проникновение цифровых технологий во все аспекты современной жизни человека в мире происходит в условиях объективного отставания законодательства в отношении обеспечения взвешенной правовой охраны прав и интересов личности.
Технологические возможности сейчас и далее будут предоставлять все больше потенциальных источников для сбора информации о человеке в цифровом пространстве, а ее обработка уже сейчас строится на использовании технологий больших данных и искусственного интеллекта. При этом уровень правовой культуры индивида и, в целом, его восприятие происходящего остаются на очень поверхностном уровне, и он до конца не осознает все угрозы и риски, связанные с использованием цифровых технологий. Ситуация усугубляется «соблазнами» и удобствами цифровых сервисов для граждан и объективным стремлением внедряющего их бизнеса ставить во главу угла собственные коммерческие интересы.
В указанных обстоятельствам и на фоне глобальной цифровизации всех сфер жизнедеятельности, «стимулированной» пандемией 2020 года в мире, а также геополитических процессов борьбы за национальные цифровые суверенитеты и возрастающей роли транснациональных цифровых сервисов насущной необходимостью правовой политики государства становятся защита прав и свобод, законных интересов граждан Российской Федерации [1, 2]. При этом многие аспекты развития цифровой экономики предполагают удаленное взаимодействие субъектов права в различных сферах деятельности с помощью электронных или иных аналогичных средств. Вместе с тем ряд проблем, связанных с дистанционной идентификацией субъектов права, взаимодействующих друг с другом удален-
но, не позволяют сформировать полноценную цифровую среду доверия. Среди них можно выделить следующие:
1) необходимость обеспечения достоверности сведений, полученных при дистанционной идентификации. В связи с этим сегодня требуется сформировать правовые механизмы, обеспечивающие баланс интересов субъектов, для которых могут возникнуть негативные правовые последствия, с одной стороны, и защиту от мошеннических действий, с другой;
2) уязвимость результатов дистанционной идентификации для правоприменительной практики ввиду сформировавшегося в обществе недоверия к цифровым способам юридически значимого взаимодействия, что существенно затрудняет судебную защиту и требует создания нормативной основы для признания допустимости и относимости за доказательствами дистанционной идентификации, связанной с применением информационных технологий;
3) терминологические расхождения в нормативных правовых актах, связанные с применением термина «идентификация» в действующем российском законодательстве, когда применительно к тому или иному субъекту или объекту права идентификация используется во многих федеральных законах в различных смысловых интерпретациях, не всегда в точном соответствии со значением этого слова. Кроме того, взаимосвязано и вариативно используется и понятие «аутентификация», что не способствует единообразному толкованию в правоприменительной деятельности и отсутствует иерархия понятий в сфере идентификации, где основным ее элементом должно быть понятие идентификатора;
4) неопределенность в подтверждении воли лица в отношении согласия на обработку информации о нем, и, в це-
лом, на совершение сделки в электронной форме. Использование идентификатора не означает, что волю выражает именно то лицо, которому принадлежит (к кому относится) этот идентификатор (или их группа), и не является автоматическим подтверждением волеизъявления лица на совершение юридически значимого действия. Актуальным вопросом является также либерализация правил идентификации, а именно определение случаев, когда согласие субъекта на обработку и/или передачу его персональных данных при проведении идентификации, презюмируется, а также случаев, при которых соответствующее согласие предоставляется в упрощенном порядке при условии информирования об этом субъекта, чьи персональные данные обрабатываются и/или передаются;
5) отсутствие в системе полномочий органов исполнительной власти специальных функций по контролю и надзору в сфере идентификации, а также будущей методологии организации цифровых профилей в отношении соответствия предметных информационных процессов требованиям национального законодательства в целях обеспечения информационной безопасности и защиты прав субъектов.
Указанные проблемы свидетельствуют о том, что в целях обеспечения развития цифровой экономики требуется на законодательном уровне урегулировать вопросы, связанные с дистанционной идентификацией субъектов правоотношений. Кроме того, развернутое правовое регулирование вопросов идентификации и аутентификации существует в большинстве развитых государств мира, в частности в США, Европейском Союзе, государствах ЕС, Сингапуре, Японии, Южной Корее, Индии и странах ЕАЭС.
Одним из ключевых направлений развития правового регулирования в сфере идентификации является разработка правовой концепции «цифрового профиля». Конкурирующие законопроекты в указанной области стали появляться с 2018 г.1 В последнем проекте федерального закона № 747513-72, внесенном в Государственную Думу ФС РФ, предусмотрено, что инфраструктура «цифрового профиля» должна включать совокупность информационных систем в единой системе идентификации и аутентификации, которые обеспечивают доступ к цифровому профилю.
Вместе с тем само содержание понятия «цифровой профиль» носит пока весьма дискуссионный характер и является крайне чувствительным предметом для любого социального моделирования, т.к. связано с идеей сбора значительного объема разнородной по своей природе информации, затрагивающей чувствительные области жизни человека. В связи с
1 Сенаторы подготовили законопроект о «цифровом профиле» // РБК, 14 мая 2019 года
https://www.rbc.ru/technology_and_media/14/05/2019/5cd998889a79472fa3623676.
2 См. карточка законопроекта в системе СОЗД ГАС «Законотворчество» -https://sozd.duma.gov.ru/bill/747513-7.
этим исследователи предлагают относить инфраструктуру «цифрового профиля» к критической информационной инфраструктуре, указывая, что она должна в полной мере отвечать организационно-правовым требованиям обеспечения информационной безопасности [3, с. 6].
При этом Организация Объединенных Наций и Всемирный банк прогнозируют, что к 2030 г. каждый в мире будет иметь цифровой идентификатор или Ю. В настоящее время национальные программы цифровых идентификаторов продвигают Бельгия, Италия, Дания, Норвегия, Турция, Япония и ряд других государств, включая страны Латинской Америки и Ближнего Востока, что направлено на защиту цифровой «личности»3.
В России понятие цифрового профиля для граждан и юридических лиц предлагается ввести на законодательном уровне, что может сделать страну как лидером нормотворчества, так и предметом для анализа другими странами возможных будущих ошибок в этой области.
По сути, прообраз цифрового профиля и был ранее заложен, в 2011 г., в организации структуры сведений портала «Госуслуги» и Единой системе идентификации и аутентификации (далее - ЕСИА), которая используется для входа на данный ресурс.
Доктринальная идея построения архитектуры цифрового профиля может подразумевать решение вышеперечисленных информационно-правовых проблем с помощью консолидации идентификационных данных о личности с увеличением объема юридически значимых параметров и усилением безопасности данных через систему распределенных реестров на базе аналога блокчейна (Мастерчейн). Что важно - такие технологии предоставляют возможность ее пользователям в любой момент получить данные о том, сколько раз, как и где были использованы их персональные данные.
Цифровой профиль гражданина представляется совокупностью цифровых записей о гражданине, содержащихся в информационных системах государственных органов и организаций. При этом системы цифрового профиля составляют технологическую инфраструктуру, которая позволяет использовать данные гражданина из цифрового профиля с его согласия, предоставляемого в цифровом виде4. Предлагается модель, когда цифровой профиль гражданина основывается на реестровой записи актуальных и проверенных сведений о нем; распределенной структуре данных, содержащей ссылки на хранящиеся в соответствующих государственных реестрах данные, а также возможности управления выданными гражданином цифровыми согласиями на обработку его персональных данных.
3 Биометрия выходит на рынки // РБК+. Информационные технологии. 2018. 13 нояб. С. 1.
4 Концепция и архитектура цифрового профиля - ЕСИА 2.0. Разработаны в рамках Плана мероприятий по направлению «Информационная инфраструктура» Программы «Цифровая экономика» Российской Федерации.
Появление последней конструкции неслучайно. В целом, идея и модель цифрового профиля физического лица вступает в противоречие с одним из краеугольных оснований современной системы охраны персональных данных, которое в российском законодательстве сформулировано в п. 3 ст. 5 Федерального закона «О персональных данных», где указано, что «не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой».
Не вдаваясь в очевидный сравнительный анализ текста закона и предлагаемых новелл законодательства разных редакций законопроектов, необходимо отметить, что принятие и введение в действие норм о профилях граждан (с корректировкой законодательства о персональных данных) может разрушить идею, которая была давно была положена в основу указанной выше нормы, что при непродуманной реализации может привести к необратимым последствиям в сфере неприкосновенности частной жизни в стране.
Особенно это важно осознавать в условиях, когда культура «информированного согласия» граждан на обработку информации о них остается крайне низкой и «удобство» организации сбора согласия в одном «окне» - с помощью инфраструктуры цифрового профиля, которая методологически связана с более широким понятием - инфраструктурой идентификации, будет порождать невнимательное отношение граждан к выражению своей воли, не стремящихся разобраться, какие далеко идущие негативные последствия могут возникать в связи с непродуманностью их решений.
Очевидно, понимая указанные обстоятельства, в России издано постановление Правительства РФ от 03.06.2019 № 710 "О проведении эксперимента по повышению качества и связанности данных, содержащихся в государственных информационных ресурсах" (вместе с "Положением о проведении эксперимента по повышению качества и связанности данных, содержащихся в государственных информационных ресурсах") (в ред. Постановления Правительства РФ от 27.03.2020 № 350). Задачами указанного эксперимента были указаны, в том числе, апробация функциональных возможностей инфраструктуры цифрового профиля путем ее использования, где сферами тестирования методологии были выбраны, в частности, управление (мониторинг) гражданином доступом банков и страховых организаций к необходимым сведениям о нем, содержащимся в Государственной информационной системе о государственных и муниципальных платежах, единой системе идентификации и аутентификации, а также в государственных и муниципальных информационных системах и используемым для автоматизированного заполнения заявлений о предоставлении кредитного продукта и отдельных страховых услуг.
Ситуация с цифровым профилем юридического лица
проще по объективным причинам, поскольку объемы персональных данных в нем могут быть менее значительными. Он определяется как совокупность цифровых записей о юридическом лице, содержащихся в информационных системах государственных органов и организаций. Инфраструктура цифрового профиля юридического лица аналогична по архитектуре и базовым элементам инфраструктуре цифрового профиля гражданина.
К целям создания цифрового профиля относятся:
- обеспечение возможности для граждан управления передачей и обработкой своих данных (управление цифровыми согласиями), содержащихся в Цифровом профиле;
- обеспечение возможности использования с согласия гражданина данных, содержащихся в Цифровом профиле организациями в целях предоставления различных услуг;
- обеспечение удобного, прозрачного и безопасного обмена данными между участниками информационного обмена;
- повышение доверия между участниками обмена
данными;
- обеспечение оперативного и безопасного получения данных из государственных информационных систем;
- развитие цифровых финансовых, государственных и иных услуг1.
Несмотря на однозначную позицию законодателя относительно понятия, принципов и целей создания цифрового профиля в литературе по-разному формулируется его теоретико-правовой статус и обусловленность.
С философско-правовой точки зрения к цифровому профилю подходит Г.С. Сологубова, указывая, что существует «новое проблемное поле для изучения феномена идентичности личности в условиях цифрового (сетевого) общества». Среди правовых проблем Г.А. Сологубова выделяет объективно существующие вопросы управления гражданином своим цифровым профилем, а также доверия к представленным данным и провайдера цифрового профиля [4].
Интересен подход к сущности цифрового профиля Д.В. Попова, который обращает внимание, что биометрические персональные данные представляют собой информационного двойника человека и как «отчуждаемая от физического тела информация, обладающая собственным существованием, может рассматриваться как "свое иное" человека, выходящее за границы приватности». При этом он отмечает, что в век высоких технологий биометрические данные невозможно скрыть и при этом потенциал наблюдения, контроля, манипуляции с такими оцифрованными и интегрированными в техносферу данными могут иметь для человека разнообразные юридические последствия, что обязывает государство устанавливать пределы и ограничения применения биометрических персональных данных [5].
1 Там же.
Р.А. Черфас отмечает, что одной из проблем в связи с реализацией государственных услуг на базе цифровых технологий, выступает формирование цифровых платформ, управляемых их оператором, с одной стороны, и цифровых профилей пользователей, представляющих собой цифровую сущность субъекта правоотношения, с другой стороны. При этом он отмечает, что взаимодействие держателя цифровой платформы, оператора цифрового профиля и пользователя образует собой цифровую версию правоотношения [6].
В контексте использования данных для архитектуры цифрового профиля представляет интерес позиция А.К. Жаровой, которая выделяет проблемы формирования правовых требований к обработке больших цифровых данных, включая обеспечение «достоверности источников данных, на основе которых формируется цифровой профиль человека»[7].
Действительно, с развитием современных технологий цифровая информация позволяет формировать цифровой профиль личности, который может аккумулировать данные с рождения человека, образуя т.н. «цифровой двойник», последовательно пополняемый новыми данными. При этом в ходе своей жизнедеятельности лицо будет использовать различные цифровые сервисы и получать услуги при использовании различных общедоступных государственных и негосударственных цифровых платформ. Кроме того, данные о гражданине могут собирать в ходе действия многочисленных систем видеонаблюдения, идентификации и использования разнообразных Ин-нтернет-ресурсов. Это все технически позволяет составить цифровой профиль личности.
Сходный подход, по мнению аналитиков из компании McKinsey, к цифровым персональным данным принят во многих зарубежных государствах, где данные о гражданине и цифровые копии его основных документов могут быть привязаны к единому идентификатору в электронных базах данных. В государственном документообороте при получении государственных услуг к идентификатору привязывают сканированные копии документов лица, хранящиеся на облачном сервере. Это позволяет при получении государственной услуги указать свой идентификационный номер и ссылку на скан необходимого документа1.
Рассуждая с точки зрения формально-юридического подхода, формирование «цифрового профиля» гражданина в России сегодня не урегулировано ни нормативными правовыми актами, ни решениями по организационно-правовому обеспечению безопасности обработки данных. Вместе с тем, как отмечают исследователи, ситуация с обеспечением безопасности личных данных в России не является удовлетворительной [8]. В соответствии с исследованием компании InfoWatch по числу утечек дан
Цифровая Россия: новая реальность. Июль 2017 г. URL: http://www.mckinsey.com/global-locations/europe-andmid-dleeast/russia/ru/our-work/mckinsey-digital (дата обращения: 01.08.2020).
ных в России лидируют именно государственные органы, причём виновными чаще всего оказываются сотрудники, в некоторых случаях использующие похищенную информацию в личных це-лях2. Кроме того, потенциальные угрозы создают применение недостаточно надежного программного обеспечения и, к сожалению не всегда отечественного производства. В данном контексте представляются особенно значимыми мероприятия по созданию отечественных программных продуктов, отвечающих современным требованиям и достижениям в сфере защиты информации, в целях реализации национальных интересов отечественными компаниями. В связи с этим необходима и разработка Государственной единой облачной платформы. Хотя в этой сфере также имеются определенные проблемы [9].
Исследование позволяет сделать вывод, что с практической точки зрения для перехода государственных органов и организаций на реестровую модель необходимо:
- определить состав данных, который будет формировать цифровой профиль, и поставщиков этих данных;
- обеспечить возможность актуализации данных в ГИС;
- определить перечень государственных и иных услуг и/или сведений, в результате получения которых будут накапливаться ссылки на данные в Цифровом профиле;
- обеспечить внесение изменений в федеральное законодательство, на основании которого предоставляются соответствующие услуги, для их перевода на реестровую модель -придание юридической значимости реестровой записи, замена бумажного документа на электронную выписку из государственного реестра;
- реализовать доработку соответствующих информационных систем государственных органов и организаций.
Введение реестровой модели является длительным процессом, который будет сопровождаться поэтапным переходом к внесению сведений в ГИС без выдачи результата на бумажном носителе. Важной задачей здесь станет обеспечение организации переход к реализации новой методологии, когда необходимо будет урегулировать вопрос постоянного и временного архивного хранения документов, которые были сформированы до введения реестровой модели в электронном виде, и обеспечить возможности конвертации форматов и документов. Именно переходный период, который объективно будет длительным, таит в себе большие опасности, когда риск создания неправильной и непродуманной архитектуры информационных систем и моделей данных может поставить под угрозу не только все начинания, но снизить качество уже существующих информационных услуг, включая государственные услуги. Примеры таких негативных сценариев в стране могут быть возможны без заранее разработанной и
2 Объем утечек конфиденциальной информации в России за год вырос в 100 раз. URL: https://www.rbc.ru/technology_and_media/08/06/2017/5937ddda9a79471a1683d2 a2?from=main (дата обращения: 02.08.2020).
одобренной не только государственными ведомствами, но и профильным экспертным сообществом стратегии «переходного периода» даже начинать реализацию любой привлекательно выглядящей инициативы. Это обстоятельство важно учитывать и при нормотворчестве. Возможно описать любую модель в законе, но без междисциплинарной экспертизы и разработанных норм, и, что важно, одновременно подготовленного проекта архитектуры будущих систем и детальных планов по их внедрению, инициатива, которая затронет всех в стране и кардинально может поменять социальные основы жизнедеятельности общества, может закончиться фатальным результатом.
При этом, пока ведется разработка именно самой нормативно-правовой базы без определения всех возможных системных рисков. Так, Банком России в рамках рабочей группы, в состав которой входят представители Минэкономразвития России, Росархива, ФНС России, Минкомсвязи России, Фонда «Сколково», крупнейших банков, а также ведущие эксперты в области электронного документооборота, подготовлен законопроект, предусматривающий: основные определения, в том числе понятия документа, электронного документа, метаданных; основополагающие нормы по замещающему сканированию документов в электронную форму с сохранением их юридической силы.
Кроме того, для использования реестровой модели в целях предоставления гражданам цифровых услуг, полагаем, потребуется снятие ограничений в отраслевых законах. Так, за счет внедряемой модели электронного паспорта транспортного средства электронный полис ОСАГО согласно нормам Федерального закона от 25 апреля 2002 г. № 40-ФЗ «Об обязательном страховании гражданской ответственности владельцев транспортных средств» позволяет исключить из оборота бумажный вид полиса и использовать его реестровый номер. В целях приведения в формальное соответствие архитектуры цифрового профиля и правовой реальности потребуется внесение изменений в целый ряд нормативных правовых актов, включая федеральные законы «Об информации, информационных технологиях и о защите информации», «О персональных данных», «Об организации предоставления государственных и муниципальных услуг», а также множество подзаконных актов.
В отношении формально-юридического определения цифрового профиля в концепции, предложенной Банком Рос-
не для сбора информации об индивиде, как самостоятельной задаче, а решении сугубо утилитарной задачи обеспечения безопасности и законности удаленных транзакций для работы на официальных ресурсах и совершении финансовых транзакций или совершении сделок. Сбор данных по ряду показателей предназначен не для субъективной оценки кем бы то ни было правоспособности или иных экономических и социальных качеств объекта оценки (хотя в дальнейшем возможно и это, и фактически банки используют этот метод при оценке кредитоспособности заемщика), а являются просто расширенной версией электронной цифровой подписи для совершения электронных транзакций на указанных ресурсах. Это различие в определении цифрового профиля является совершенно принципиальным: если на Западе это некий цифровой срез, набор информации о деятельности индивида в сети вообще, как и его собственной, так и третьих лиц в связи с ним, и следующая некая общая оценка, всегда подразумевающая некую субъективность анализатора, то в России концепция оперирует рядом вполне конкретных параметров (данных) об индивиде.
На основе проведенного исследования и анализа подходов к определению цифрового профиля автор полагает, что цифровой профиль лица представляет собой уникальную базу данных, включающую совокупность идентификаторов и иных конфиденциальных и общедоступных сведений, отражающих различные аспекты частной и общественной жизни человека.
При этом вне зависимости от возможной справедливой критики этого и иных научно-правовых подходов к проблематике рассматриваемой области до того, как Российское государство введет в действие обновленную систему правового регулирования предметных правоотношений, необходимо принять ответственное решение, будут ли соответствующие идеи и новеллы законодательства служить интересам стабильности развития общества и государства на современном этапе.
Если ответ будет отрицательным, нужно иметь смелость затормозить процессы нормотворчества до момента создания социальных и технологических условий и механизмов, служащих защите интересов гражданина, общества и государства. В таком случае в качестве компромиссной модели развития государства на ближайшее время возможно предложить реализацию модели цифрового профиля юридического лица и только после ее апробации приступить к реализации идей в отношении обработки информации о физических лицах.
сии, можно говорить о правовой конкретике, и предназначении
Библиография:
1. Полякова Т.А., Минбалеев А.В., Кроткова Н.В. Формирование системы информационного права как научного направления: этапы развития и перспективы // Государство и право. 2019. № 2. С. 80 - 92. DOI: 10.31857/S013207690003854-1
2. Минбалеев А.В. Трансформация регулирования цифровых отношений // Вестник Университета имени О.Е. Кутафина (МГЮА). 2019. № 12 (64). С. 31-36.
3. Полякова Т.А., Чеботарева А.А. О новом «регуляторном ланшафте» в условиях цифровой трансформации системы права и экономики // Информационное право. 2020. № 2. С. 4-8.
4. Сологубова Г.С. Фундаментальное значение идентичности. Идентичность в цифровом мире. 2018. URL: http://digital-economy.ra/stati/fundamentalnoe-znachenie-identichnosti-identichnost-v-tsifrovom-mire (дата обращения: 07.03.2020).
5. Попов Д.В. История паноптизма: от оракулов к палантирам // Манускрипт. 2019. Т. 12. Вып. 6. С. 166-171.
6. Черфас Р.А. Цифровая трансформация правоотношений в сегментах G2G, G2B/B2G и G2C // Право и цифровая экономика. 2020. № 1. С. 29-35.
7. Полякова Т.А., Минбалеев А.В. Обзор круглого стола «Глобальное информационное общество в условиях цифровизации и новых вызовов: правовые проблемы и исследования» (Москва, Институт государства и права РАН, 15 мая 2020 г.) // Труды Института государства и права РАН. 2020. № 2. С. 199-210.
8. Карпушин Е. Развитие цифрового документооборота в современной экономике // Интеллектуальная собственность. Промышленная собственность 2019. № 7. С. 65-71.
9. Камалова Г.Г. Государственная единая облачная платформа: перспективы и риски // Информационное право. 2020. № 2. С. 26-30.
