Научная статья на тему 'ИНФОРМАЦИОННО-ТЕРМИНОЛОГИЧЕСКИЕ ПРОБЛЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В УСЛОВИЯХ ЦИФРОВИЗАЦИИ ЭКОНОМИКИ'

ИНФОРМАЦИОННО-ТЕРМИНОЛОГИЧЕСКИЕ ПРОБЛЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В УСЛОВИЯХ ЦИФРОВИЗАЦИИ ЭКОНОМИКИ Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
59
10
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
идентификация / аутентификация / авторизация / код доступа / персонализация / персонифицирование
i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «ИНФОРМАЦИОННО-ТЕРМИНОЛОГИЧЕСКИЕ ПРОБЛЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В УСЛОВИЯХ ЦИФРОВИЗАЦИИ ЭКОНОМИКИ»

Нестеров А.В.

д.ю.н., профессор Российского университета дружбы народов, Российской таможенной академии

ИНФОРМАЦИОННО-ТЕРМИНОЛОГИЧЕСКИЕ ПРОБЛЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В УСЛОВИЯХ ЦИФРОВИЗАЦИИ ЭКОНОМИКИ

Ключевые слова: идентификация, аутентификация, авторизация, код доступа, персонализация, персонифицирование.

Хотя персональные данные прямо связаны с информационным законодательством, в РФ был принят отдельный закон 152-ФЗ, который недостаточно четко гармонизован с 149-ФЗ, посвященным регулированию информационных правоотношений в публично-правовой сфере.

Персональные данные, несомненно, связаны с персоной, но законодательство не определяет персону, а использует понятие физического лица и вводит понятие субъекта персональных данных.

Проблемы с персональными данными почувствовали практически все люди и организации в виде навязчивой телефонной рекламы, спама, схем мошеннических социальных технологий и фишинговых сайтов. Появилось понятие «утечка» персональных данных, Интернет стал средой полного недоверия, а персональные данные превратились в товар.

Информационное законодательство не успевает за развитием информационно-коммуникационной сферы на базе электронной среды и оперирует устаревшими словами в виде ЭВМ, информационные технологии, а также тавтологичными, метафоричными и противоречивыми определениями легальных понятий.

Инженеры начали работать над устранением идеалистических ошибок отцов основателей Интернета1 путем создания условно доверительной электронной среды на базе цифровых систем, т.к. в них используется понятие цифровой документ. Частным случаем таких систем являются блокчейн-системы с их смарт-контрактами. Хотя блокчейн-системы по старинке называют технологиями, необходимо отметить, что высокотехнологичные системы сложно называть технологиями.

Поэтому правоведам не надо использовать метафоры, которые возникли в середине 1990-х годов. В частности, фраза «цифровой мир» появилась благодаря комментатору журнала Wired2 и является метафорой, т.к. файловые данные как файловые документы представляют собой данные в двоичном, а не цифровом знаковом формате. Цифра - это только частный случай числа, которое является частным случаем знака, состоящего из лингвистических, иконических и/или числовых знаков. Второй наиболее важной метафорой является «информация», которая в 149-ФЗ выражена через сведения (сообщения, данные), а они выражены через информацию.

Юридические науки можно считать точными с точностью до термина, имеющего дефиницию в терминологическом словаре (глоссарии). Рассмотрим наиболее актуальную и важную терминологическую проблему в области персональных данных с помощью категорийно-тензорного подхода3. Поэтому рассмотрим следующие категории: персона, ее свойства и персональные данные.

Персона обладает персональными свойствами, по которым ее можно выявить: выделить, определить и/или установить в совокупности персон.

Персона может обладать индивидуальными, уникальными и/или исключительными свойствами, по которым ее можно выделить из совокупности персон. Остановимся на индивидуальных свойствах персоны.

Индивидуализация подразумевает фиксацию в индивидуальном учете, реестре, регистре (далее учете) индивидуальных данных, отображающих индивидуальные (выделяющие) свойства индивида, продуцирование средства индивидуализации и/или индивидуальных знаков (имени) индивида. Под индивидом будем понимать, как минимум, одно индивидуальное свойство персоны (индивидуума), а также его индивидуальных инструментов и/или объектов, поэтому они также могут быть индивидуализированы.

Персона как человек-индивидуум может иметь подлинное имя, данное ему при рождении и зафиксированное в индивидуальном персонифицированном учете, а также она может иметь псевдонимное имя (псевдоним) и/или выступить без имени (анонимом).

Выделение субъекта, инструмента и/или объекта как индивида подразумевает его обозначение, в частности в виде знаков. Субъекты могут иметь имя, а инструменты и/или объекты - наименование. Электронные инструменты в виде электронного устройства содержат электронные средства, программное обеспечение и/или данные и могут иметь

1 Berners-Lee T. One Small Step for the Web... 2018. - September 29. - https://medium.com/@timberners_lee/one-small-step-for-the-web-87f92217d085

2 Negroponte N. Being double digital // Wired. 1995. - N 10. - https://habr.com/ru/company/philtech/blog/354418/

3

Нестеров А. В. Экспертика: Общая теория экспертизы. - М.: Тип. НИУ ВШЭ, 2014. - 261 с.

наименование в виде знаков. Программа и/или данные представляют собой двоичные знаки, поэтому их обозначение можно назвать знаками знаков (символами). Итак, обозначение индивида может состоять из имени, названия и/или символа. Отсюда следует, что имя может отображать название и/или символ, как и название - имя и/или символ, а символ - имя и/или название.

Людей, имеющих одинаковые полные имена достаточно много, поэтому данные, отображающие индивидуальное имя персоны, без иных данных, идентифицирующих персону, не являются персональными. Однако всегда существует потенциальная возможность раскрыть не только псевдонимного, но и безымянного индивида, по иным его идентифицирующим свойствам.

В публикации1 утверждается что цифровое имя является его идентификатором, с чем сложно согласиться, т.к. персона-пользователь кроме сетевого имени может иметь идентификатор и/или средство идентификации. Поэтому необходимо различать индивидуальные имена и идентификаторы (идентификационные знаки).

В этой связи, персонифицированные учеты могут содержать данные, которые не только индивидуализируют персону, но и позволяют ее определить и/или установить.

Определение персоны состоит из идентифицирования, диагностирования и/или ситуацирования как операций подтверждения соответствия определяемой или определенной персоны (далее персона), известной совокупности персональных данных этой персоны в персонифицированном учете.

Остановимся на идентифицировании персоны. Необходимо различать операции идентифицирования и идентификации персоны. Под идентификацией персоны понимаются операции фиксации ее идентификационных свойств в идентификационном учете, приписывания ей средства идентификации и/или идентификатора (идентификационных знаков).

Идентификаторы персоне, ее инструментам и/или объектам могут приписывать: юридические субъекты, включая саму персону; уполномоченные смарт-инструменты (смарт-программы) и/или смарт-объекты (смарт-документы). Здесь и далее под юридическими субъектами понимаются физические лица, юридические лица и/или публично-правовые образования.

Идентификационными данными персоны могут быть ее биометрические данные, поэтому правильно подмечено, что: «Единственным абсолютно неотторжимым сведением о личности является ДНК-код человека: пальцы можно

ампутировать или сжечь кислотой, глаза повредить, голос скрытно записать, на лицо наложить фальшь-маску или ис-

2

пользовать скрин, кисть руки пересадить и т.д.» .

Идентификационные данные: данные, с помощью которых идентифицируют персону (человека и/или гражданина), состоящие из идентификационных данных человека, средств идентификации и/или идентификаторов.

Идентифицирование персоны как ее верификация3 подразумевает операции проверки предъявляемых идентифицируемых свойств человека, средства идентификации и/или идентификатора конкретной персоны на их соответствие идентификационным данным персоны, хранимым в идентификационной части персонифицируемого учета.

Идентификационные свойства персоны базируются на свойствах человека, а также социальных, юридических и/или иных его свойствах, которые могут его идентифицировать.

Поэтому необходимо различать средство идентификации и идентификатор как идентификационное обозначение. При осуществлении идентификации как операции приписывания идентификатора индивиду идентификации, в частности, физическому лицу, заносится запись в персонифицированном учете и выдается средство идентификации, в котором отображаются не только идентификационные знаки самого средства, но идентификационные знаки и/или данные, идентифицирующие индивида. На этом средстве идентификации/индивидуализации могут отображаться индивидуализирующие свойства и/или знаки, а также их данные.

В ст. 341 ТК ЕАЭС имеется определение: «К средствам идентификации относятся пломбы, печати, цифровая, буквенная и иная маркировка, идентификационные знаки, штампы, сейф-пакеты и иные средства, обеспечивающие идентификацию товаров».

Это определение необходимо уточнить. Средства идентификации и идентификационные знаки являются самостоятельными, но идентификационные знаки могут располагаться в форме данных на электронных носителях, выступающих в качестве средств идентификации.

В соответствии с ГОСТ Р 55036-2012 / ISO/TS25237:2008 «Информатизация здоровья. Псевдонимизация» известно следующее определение: «Идентификатор лица (personal identifier) - информация, с помощью которой лицо может быть однозначно определено в определенном контексте».

Это определение касается только лица, а не индивида, а также не расшифровывает, что означает контекст, поэтому его необходимо уточнить.

Идентификатор: идентификационные знаки, в том числе в электронной форме, которые используются для идентифицирования носителя, формы и/или содержания того, что с их помощью обозначают.

Далее ограничимся рассмотрением только идентификаторов, поэтому при установлении персоны, ее данных, несущих сведения и/или сообщения, необходимо говорить о проверке подлинности идентификаторов этих индивидов.

1 Тагиров З. Цифровое имя (!<!) человека в цифровой экономике. 25.08.2017. - https://zakon.ru/blog/2017/08/25/ с1&о-уое_туа_у_с11хоуо]_екопот1ке#соштеП;_410245

2 Там же.

3 Морозова А.А. Достоверность информации в социальных сетях и критерии ее верификации (на примере «ВКонтакте») // Вестник Челябинского государственного университета. 2017. - № 6 (402). Филологические науки. - Вып. 106. - С. 75-83.

В общем случае индивид, в том числе персона, может быть выявлен: выделен, в частности, индивидуализирован, определен, в частности, идентифицирован, и/или установлен.

Обычно используется фраза «установление личности», которая фактически означает операции по проверке (сравнению) фактических свойств предъявителя личного документа и знаковых сведений на этом документе. В электронной среде такая проверка осуществляется автоматически на основе данных, представленных пользователем и данных соответствующих учетов. Учитывая, что пользователь может представить поддельные данные, а также в качестве пользователя может выступить бот, зловредная и/или шпионская программа при обращении к электронному ресурсу, то под установлением индивида, в частности, персоны, необходимо понимать проверку подлинности идентификатора индивида с помощью аутентификации1, авторизации и/или процедуры проверки субъектности.

Известны нормативные правовые определения аутентификации и авторизации в Постановлении Правительства РФ от 28.11.2011 N 977 (ред. от 20.11.2018): «аутентификация участников информационного взаимодействия - проверка принадлежности участнику информационного взаимодействия введенного им идентификатора, а также подтверждение подлинности идентификатора».

Кроме аутентификации персоны, известны аутентификация электронного документа путем проверки электронной подписи и контрольной суммы файла, а также аутентификации электронного сообщения путем контроля целостности и подтверждения подлинности.

Поэтому под аутентификацией следует понимать операции проверки идентификаторов на подлинность, путем введения одноразового кода, высылаемого персоне с помощью голосового и/или письменного сообщения. Возможны следующие виды идентификаторов: пароль, электронная подпись и/или цифровая метка.

Также представляется недостаточно корректным в указанном Постановлении следующее определение: «авторизация участников информационного взаимодействия - подтверждение наличия у участника информационного взаимодействия прав на получение доступа к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме».

Авторизация персоны подразумевает, что аутентифицированная персона может выполнять не все виды операций. Например, пользователь может получить доступ к информационному ресурсу, но не может копировать искомый документ, или может копировать, но не может его обрабатывать, а также использовать без соответствующего разрешения. Поэтому под авторизацией персоны понимается операция проверки кода авторизации на соответствие установленному критерию для подтверждения права доступа к конкретному ресурсу.

Для проверки подлинности субъекта (субъектности), пользователь должен выполнить ручные действия, чтобы подтвердить, что он является человеком, например, ввести капчу.

Таким образом, установление подлинности персоны подразумевает предоставление одноразового кода аутентификации + кода авторизации + знаки подтверждения человека-пользователя. Так как при установлении подлинности персоны могут одновременно использоваться все эти данные, то их можно называть кодом доступа.

В целом, для предоставления доступа к электронному ресурсу необходимо выявить персону путем персонифицирования. В связи с этим, необходимо уточнить несколько терминов.

Данные о персоне могут состоять из персональных данных, операционно-деятельностных данных и/или данных, характеризующих персону. Фраза «данные о конкретном человеке (персоне)» используется в публикации2, однако она имеет иное значение, в частности, обозначает персонифицированные данные (personalized data), которые фактически представляют собой персональные данные и сведения, соотносимые с конкретной личностью-персоной в виде документированных сведений о человеке, в том числе о состоянии здоровья, оказанной медицинской помощи и т.д., на основе которых невозможно однозначно определить их принадлежность конкретному лицу (персоне). Такой подход не учитывает операционно-деятельностные данные. Здесь к операциям относятся трансакции, выполняемые средствами автоматизации, а действия - людьми.

Операционные данные могут состоять из посетительских, пользовательских и/или наблюдательских данных, т.к. персона взаимодействует с операторами персональных данных. Такое деление обусловлено тем, что персона может выступать в качестве посетителя, пользователя и/или персоны наблюдения. Персона может посетить юридического субъекта добровольно, в соответствии с договором и/или на основании закона.

Операционные данные могут состоять из данных, отображающих: взаимодействия персоны с иными юридическими субъектами, инструментами и/или объектами, а также продукты этих взаимодействий. В эти же данные могут входить данные, отображающие операции сервисов операторов персональных данных, которые осуществляются с данными о персонах.

Данные, характеризующие персону, могут отображать иные свойства персоны, а также ее связи и/или отношения (связи связей).

Логическое пересечение персональных данных с иными видами данных о персоне, приводит к тому, что по ним можно выявить принадлежность персональных данных к конкретной персоне. Такие данные можно назвать персонифицирующими данными.

1 Сабанов А.Г. Концепция моделирования процессов аутентификации // Доклады ТУСУРа. - Томск, 2013. - № 3 (29), сентябрь. - С. 71-75.

2 Столбов А.П. Обезличивание персональных данных в здравоохранении // Врач и информационные технологии. 2017. -№ 3. - С. 76-91.

Персонифицирующие данные: данные о персоне, логически связанные с персональными данными, по которым можно персонифицировать персону.

Хотя широко известны персонифицированные учеты, установленные в ФЗ-27 от 01.04.1996 (последняя редакция от 16.12.2019 N 436-Ф3), однако глагола для обозначения операции их заполнения нет. Поэтому, по аналогии, с идентификацией будем использовать слово «персонификация».

Персонификация персоны: фиксация в персонифицированном учете персональных данных конкретной персоны, выдача средства персонализации и/или персональных знаков, в том числе на электронном носителе, этой персоне.

Персонифицируемые данные: потенциально персональные данные, предъявляемые персоной с помощью средства персонализации и/или персональных знаков, а также биометрических свойств персоны, для проверки их на соответствие персональным данным этой персоны.

Персонифицирование персоны: операции по выявлению принадлежности персонифицируемых данных к конкретной персоне (субъекту персональных данных), выполняемые в соответствии с установленной процедурой.

Таким образом, в рассмотренном варианте, выявление персоны состоит из персонифицирования персоны, состоящего из индивидуализирования, идентифицирования и установления персоны (проверке предъявленного ей кода доступа).

Выводы. То, что в российском законодательстве используются противоречивые, тавтологичные и метафоричные определения понятий, подтверждается юридическими словарями, в которых одно и то же понятие имеет в каждой отрасли права свое определение. Для того чтобы осуществить цифровизацию законодательства и юридической деятельности, необходимо начать фундаментальную работу по упорядочиванию легальной терминологической базы, на основе которой создать юридический тезаурус. Только затем можно на его основании продуцировать формальные онтологии отраслей права с учетом унифицированной юридической мета-онтологии1.

1 Nesterov A.V. On the Unification of the Conceptual Model of the Meta-Ontology // Scientific and Technical Information Processing. 2019. - Vol. 46, N 1. - P. 34-37. DOI: 10.3103/S0147688219010106

i Надоели баннеры? Вы всегда можете отключить рекламу.