CC BY
232
В.Б. Наумов*
НАУЧНЫЕ ПОДХОДЫ К КЛАССИФИКАЦИИ ВИДОВ ПРАВОВОЙ ИДЕНТИФИКАЦИИ В ИНФОРМАЦИОННЫХ ПРАВООТНОШЕНИЯХ
В статье анализируется проблематика развития регулирования идентификации субъектов информационных правоотношений, выявляются критерии классификации правовой идентификации для правоотношений в Интернете, при использовании единой системы идентификации и аутентификации, в других сферах. Дается характеристика видов идентификации в зависимости от критериев классификации и определяются наиболее существенные пробелы в предметном регулировании.
Правовая идентификация, аутентификация, классификация, единая система идентификации и аутентификации.
Значение идентификации субъектов отношений в информационной сфере сложно подвергать сомнению. Однако в условиях электронного документооборота и нахождения субъектов на расстояниях друг от друга сложившиеся веками методы идентификации уже не подходят.
Следует отметить, что правовое регулирование в рассматриваемой сфере носит фрагментарный характер, отсутствует общая иерархически построенная терминология1 и единая система требований к субъектам правоотношений, имеющих организационно-техническую возможность идентифицировать участников правоотношений в Интернете. Тем не менее представляется возможным выделить ряд направлений развития информационного законодательства с собственными подходами к идентификации субъектов, которые отличаются друг от друга в зависимости от условий осуществления идентификации и сферы применения.
* Доцент Санкт-Петербургского государственного университета, ведущий научный сотрудник Центра экономики непрерывного образован™ Российской академии народного хозяйства и государственной службы при Президенте РФ, кандидат юридических наук, партнер юрфирмы Dentons (e-mail: nau@russianlaw.net).
1 Наумов В. Б. Вопросы развития терминологии в сфере персональных данных // Понятийный аппарат информационного права. Сб. науч. работ / Отв. ред. И.Л. Ба-чило, Э.В. Талапина. М., 2015. С. 124-129.
Первое направление закономерно связано с существующим в стране более 20 лет2 правовым институтом персональных данных, представляющим собой сформировавшуюся систему правового регулирования, имеющую, однако, особенности, которые не всегда можно эффективно реализовывать в сети Интернет, где может происходить полное раскрытие персональных данных и где культура информационного взаимодействия, а также технические стандарты и протоколы обмена информации не всегда требуют представления персональных данных. Кроме того, в Интернете не всегда необходимы именно персональные данные — достаточно использовать данные только для идентификации технических средств доступа и передачи информации3.
Не случайно в незначительной по объему судебной практике, затрагивающей проблему идентификации, очень часто суды принимают решение о факте распространения той или иной информации конкретным лицом на основе косвенных сведений или свидетельских показаний: далеко не все регистрируются в почтовых службах, интернет-сервисах или социальных сетях под своим именем и указывая свои персональные данные. При этом действующее законодательство не всегда требует полной самоидентификации. Лицо может действовать в Интернете анонимно в целях реализации своего права на неприкосновенность частной жизни. В этом случае для правовой квалификации неполноты представления лицом информации о себе необходимо указание в законе, является ли обязательной идентификация в тех или иных правоотношениях.
В качестве второго направления развития необходимо указать совершенствование законодательства об электронной подписи, недавно претерпевшее существенную ревизию4. Как и персональные данные, электронная подпись выполняет схожие функции:
2
Отсчет можно вести с момента принятия Федерального закона от 20 февраля 1995 г. № 24-ФЗ «Об информации, информатизации и защите информации», ныне утратившего силу, в ст. 11 которого впервые в российском законодательстве было дано определение персональных данных.
В Интернете для идентификации 1р-адреса, адреса электронной почты и мес-сенджеров используются доменные имена, никнеймы (псевдонимы) и другие объекты.
См.: Федеральный закон от 30 декабря 2015 г. № 445-ФЗ «О внесении изменений в Федеральный закон «Об электронной подписи» // СЗ РФ. 2016. № 1 (ч. 1). Ст. 65.
она используется для определения лица в конкретных случаях. При этом имеются и ее существенные отличия от персональных данных, определяемые электронной формой информации и наличием связанных с ней информационных систем и технических средств.
В этой сфере современное законодательство рассматривает электронную подпись в качестве средства, подтверждающего факт формирования подписи (простая электронная подпись) и позволяющего определить лицо, подписавшее электронный документ (неквалифицированная электронная подпись).
Важная роль при решении задач идентификации в случаях использования электронной подписи отводится соглашениям между участниками электронного взаимодействия.
Третье направление развития правового регулирования связано непосредственно с Интернетом5. В настоящее время Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»6 (далее — Закон об информации) предусматривает следующие механизмы для идентификации субъектов в Интернете: самоидентификацию в силу требований ст. 10 и добровольные и обязательные регистрации блогеров и организаторов распространения информации в так называемых реестрах по 97-ФЗ7.
Федеральный закон от 5 мая 2014 г. № 97-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей»8 дополнил Закон об информации положениями, устанавливающими правовой статус организатора распространения информации в сети Интернет, а также правовой
5 Не следует забывать, что в Интернете существуют технические средства, которые препятствуют идентификации на технологическом уровне. В свою очередь, большинство государств стремится иметь в своем распоряжении средства обеспечен™ доступа к информации о действиях пользователей.
6 СЗ РФ. 2006. № 31 (ч. 1). Ст. 3498.
"7
Именно так указанные реестры называются на сайте Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (http://rkn.gov.ru/).
8 СЗ РФ. 2014. № 19. Ст. 2302.
статус блогера и обязанности по регистрации указанных субъектов.
Самоидентификация, предусмотренная ст. 10 Закона об информации, несмотря на императивный характер правовых норм, представляет собой в современных социальных реалиях не обязательную, а «добровольную» идентификацию, поскольку ответственность за нарушение норм указанной статьи не установлена. Аналогичная по содержанию норма о предоставлении информации о себе предусмотрена и для блогеров (ч. 5 ст. 102).
Гораздо более жесткий механизм контроля за субъектами отношений введен в связи с «реестрами по 97-ФЗ». Ключевым субъектом здесь является организатор распространения информации — для него установлены обязанности по обеспечению идентификации информации и субъектов (в форме хранения и предоставления информации), которые подкреплены обязанностью уведомить о начале собственной деятельности.
На провайдеров хостинга или иных лиц, обеспечивающих размещение сайтов или страниц сайтов в сети Интернет, возложены обязанности по обеспечению идентификации блогеров. В целом система предметного правового регулирования этого вопроса основывается на установленной административной ответственности за неисполнение обязанностей по предоставлению информации для идентификации лиц (ст. 13.31 и 19.7.10 Кодекса РФ об административных правонарушениях).
В Законе об информации также имеется указание на то, что законами может быть предусмотрена обязательная идентификация личности, организаций, использующих информационно-телекоммуникационную сеть при осуществлении предпринимательской деятельности (ст. 15). Тем не менее, несмотря на очевидную важность соответствующих норм, пока этот пробел в законодательстве не устранен.
Идентификация в Интернете имеет другие явные отличия от идентификации в обычной («невиртуальной») жизни, когда наличие в правоотношениях специальных субъектов — информационных провайдеров (посредников), владеющих технологической инфраструктурой, оказывающих интернет-услуги и предоставляющих возможности хранения, распространения и доступа к информации, создает условия «относительной идентификации». Этот аспект связан с проблемой определения ответственности информа-
ционных провайдеров (посредников) и с вопросом, при каких условиях они должны раскрывать сведения о собственных клиентах или пользователях. В последнем случае раскрытие информационным провайдером сведений о собственном пользователе будет приводить к «абсолютной идентификации», когда субъект становится идентифицирован не только для идентифицирующего его лица, но и для других лиц9.
В законодательстве о связи постепенно восполняются пробелы в правовом регулировании. В частности, постановление Правительства РФ от 31 июля 2014 г. № 758 «О внесении изменений в некоторые акты Правительства Российской Федерации в связи с принятием Федерального закона «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей»1" урегулировало использование общественных точек доступа (в первую очередь по стандартам Wi-Fi).
Популярность электронных расчетов обусловливает развитие законодательства о национальной платежной системе и о противодействии легализации (отмыванию) доходов, полученных преступных путем, и финансированию терроризма, которое также предлагает собственные решения по обычной и «упрощенной» идентификации в сфере финансовых услуг11.
9 Проблема не нашла своего разрешения ни в законодательстве, ни в судебной практике. В этом плане показательным представляется дело «Компания «Делфи АС» против Эстонии», рассмотренное Европейским судом по правам человека (жалоба № 64569/09, постановление от 16 июня 2015 г.). Суд указал, что поставщик услуг может «предусмотреть более высокую степень анонимности для своих пользователей. В этом случае от пользователей не требуется сообщать о себе вообще никаких сведений и их можно установить в ограниченной степени только по данным, сохранившимся у интернет-провайдера. Обычно такие данные сообщаются только по запросу следственных или судебных органов и на ограничительных условиях. Тем не менее в некоторых случаях это может быть необходимо для установления правонарушителей и привлечения их к ответственности» // СПС «Кон-сультантПлюс ».
10 СЗ РФ. 2014. № 32. Ст. 4525.
11 См.: Наумов В.Б., БрагииецА.Ю. Правовые проблемы удаленной идентификации на примере регулирования финансовых услуг // Информационное право. 2016. № 1. С. 14.
Осознавая важность проблематики идентификации субъектов в информационном пространстве12, в 2013 г. Россией были сделаны первые системные шаги в сфере взаимодействия государства и граждан. Благодаря принятию Федерального закона от 7 июня 2013 г. № 112-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и Федеральный закон «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления»13 был определен статус и заложены основы идентификации субъектов информационных правоотношений в сфере оказания государственных услуг.
В настоящее время создана единая система идентификации и аутентификации (ЕСИА) — федеральная государственная информационная система14, порядок использования которой устанавливается Правительством РФ и которая обеспечивает в случаях, предусмотренных законодательством РФ, санкционированный доступ к информации, содержащейся в информационных системах (п. 19. ст. 2 Закона об информации).
Правительство РФ определяет порядок использования ЕСИА и устанавливает случаи, при которых доступ через Интернет к информации, содержащейся в государственных информационных системах, предоставляется исключительно пользователям информации, прошедшим авторизацию в указанной системе (ч. 4.1 ст. 14).
12
Российский опыт начали использовать другие государства — участники СНГ. См., например: постановление Кабинета Министров Республики Узбекистан от 17 декабря 2015 г. № 365 «О мерах по формированию центральных баз данных физических и юридических лиц и внедрению единой информационной системы идентификации пользователей системы «Электронное правительство») // URL: https://www.uzdaily.uz/articles-id-27327.litm (дата обращения: 03.10.2015).
13 СЗ РФ. 2013. № 23. Ст. 2870.
14 Модернизированная версия ЕСИА введена в эксплуатацию приказом Министерства связи и массовых коммуникаций РФ от 30 июня 2014 г. № 179 (СПС «Консуль-тантПлюс»). Распоряжением Правительства РФ от 9 июня 2014 г. № 991-р утвержден план мероприятий («Дорожная карта») по реализации Концепции развития механизмов предоставления государственных и муниципальных услуг в электронном виде (СЗ РФ. 2014. № 24. Ст. 3136). В последнем квартале 2015 г. интегрированы информационные системы многофункциональных центров, давно используемых в России, с единой системой идентификации и аутентификации. Ранее было реализовано обеспечение интеграции официальных сайтов и порталов федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ и органов местного самоуправления, используемых в процессе предоставления приоритетных услуг с единой системой идентификации и аутентификации.
Еще до принятия указанных выше изменений постановлением Правительства РФ от 28 ноября 2011 г. № 97715 были утверждены «Требования к Федеральной государственной информационной системе «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» (далее — Требования к ЕСИА), где были заложены технологические и правовые основы идентификации именно в сфере государственного управления в целом и государственных и муниципальных услуг в частности16.
В соответствии с п. 6 Требований к ЕСИА система должна включать в себя ряд регистров: физических лиц, юридических лиц; должностных лиц органов и организаций, предусмотренных пп. «а» п. 3 данных Требований; органов и организаций федеральных органов исполнительной власти РФ и др.; информационных систем; органов и организаций, имеющих право создания (замены) и выдачи ключа простой электронной подписи в целях оказания государственных и муниципальных услуг.
Важной архитектурной особенностью внедрения ЕСИА стал отказ от стратегии, предусматривающей использование исключительно электронной цифровой подписи (позже — усиленной квалифицированной электронной подписи). «Ставка» на простую электронную подпись (п. 3 Требований к ЕСИА) как более удобную в использовании и, соответственно, более распространенную представляется удачным решением.
В Требованиях к ЕСИА (п. 5) закреплены дефиниции понятий, важных для института правовой идентификации, к сожалению, пока не определенных на уровне федеральных законов:
идентификация участников информационного взаимодействия — сравнение идентификатора, вводимого участником информационного взаимодействия в любую из информационных систем, с идентификатором этого участника, содержащимся в соответствующем базовом государственном информационном ресурсе, определяемом Правительством РФ;
15 СЗ РФ. 2011. № 49 (ч. 5). Ст. 7184.
16 В указанном постановлении органам государственной власти рекомендовалось идентификацию, аутентификацию, авторизацию и регистрацию физических и юридических лиц в целях предоставления государственных и муниципальных услуг с 15 апреля 2012 г. осуществлять с помощью ЕСИА.
аутентификация участников информационного взаимодействия — проверка принадлежности участнику информационного взаимодействия введенного им идентификатора, а также подтверждение подлинности идентификатора;
авторизация участников информационного взаимодействия — подтверждение наличия у участника информационного взаимодействия прав на получение доступа к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме.
В настоящий момент эти определения, наряду с терминами из других отраслей законодательства, в первую очередь финансового17, и из ряда стандартов18, представляют собой ограниченную терминологическую базу, которая нуждается в оперативном развитии. В противном случае без разработки и принятия сбалансированной непротиворечивой и иерархической системы дефиниций законодательство будет развиваться путем введения новых определений, разработанных под конкретные обстоятельства и противоречащих уже существующим.
Уже сейчас можно выявить нестыковки между формируемым законодательством об идентификации и действующим законодательством о персональных данных. Первое практически не содержит ссылок на категории персональных данных и оперирует собственными терминами (например, «идентификаторы»19), а второе не содержит четкого указания, в какой момент процесса идентифика-
1 и
См.: Наумов В.Б., БрагинецА.Ю. Указ. соч. С. 17.
18
См.: ГОСТ Р 50739-95. «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования»; ГОСТ Р ИСО/ТО 13569-2007. «Финансовые услуги. Рекомендации по информационной безопасности»; ГОСТ Р ИСО/МЭКТО 19791-2008. Национальный стандарт Российской Федерации. «Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем»; ГОСТ Р ИСО/МЭК 27033-1-2011. Национальный стандарт Российской Федерации. «Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции».
19 См.: Положение о федеральной государственной информационной системе «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме (утв. приказом Министерства связи и массовых коммуникаций РФ от 13 апреля 2012 г. № 107) // СПС «КонсультантПлюс».
ции различные виды сведений и данных становятся охраняемыми персональными данными.
Имеется еще одно важное обстоятельство, которое демонстрирует понимание разработчиками ЕСИА природы быстро развивающихся информационных технологий: согласно п. 6 (1) Требований к ЕСИА система должна обеспечивать возможность «применения различных методов идентификации пользователей» при обеспечении доступа к информации с учетом полномочий пользователей и целей доступа к этой информации.
В 2013 г. в Требованиях к ЕСИА был отдельно определен порядок идентификации для целей использования интернет-ресурса «Российская общественная инициатива»2". К последнему должны иметь доступ исключительно граждане РФ, прошедшие в ЕСИА процедуру регистрации, осуществление которой сопровождалось очным предъявлением основного документа, удостоверяющего личность, и внесением информации о таком способе установления личности в соответствующий регистр этой системы (п. 7(1)).
Закономерно, что столь обширные организационные, технологические и нормотворческие нововведения последних лет встречали непонимание или критику. Так, четыре года назад возник первый судебный прецедент в отношении ЕСИА: заявители, обратившиеся в Верховный Суд РФ, утверждали, что «Правительством Российской Федерации незаконно введены государственный регистр населения и обязательная идентификация всех граждан по идентификационным номерам»21.
Однако Суд не усмотрел нарушений действующего законодательства, включая законодательство о персональных данных. «Требования, — по мнению Суда, — устанавливают назначение системы идентификации и авторизации, а также цели ее использования и вопреки утверждениям заявителей не предусматривают присвоение гражданам идентификационных номеров, не нарушают прав граждан на идентификацию себя в каких-либо отношениях по фамилии, имени, отчеству, дате, месту рождения и месту жительства, отношению к гражданству... Лица, не желающие получать государ-
2()
URL: https://www.roi.ru/ (дата обращения: 03.03.2016).
21
Определение Верховного суда РФ от 20 сентября 2012 г. № АЛЛ12-503 // Бюллетень Верховного Суда РФ. 2013. № 3.
ственные и муниципальные услуги в электронном виде, вправе получать их иных формах, предусмотренных законодательством...».
Не ставя перед собой задачу перечислить и проанализировать все виды правоотношений, связанных с идентификацией, представляется целесообразным предложить следующую систему критериев классификации и построенную на их основе систему видов правовой идентификации.
Таблица. Научные подходы к определению критериев к классификации правовой идентификации субъектов в информационных правоотношениях
№ п/п Критерии классификации Идентификация в зависимости от критериев классификации
1 2 3
1 Возможность идентификации Возможна Невозможна*
2 Степень императивности Обязательная идентификация (может быть установлена законом, договором или, например, правилами пользования информационной системы или сайта в Интернете); добровольная идентификация; запрет идентификации (например, при тайном голосовании или в связи с условиями использования информационной системы)
3 Видьт субъектов, к кому адресована обязанность осуществить идентификацию Оператор соответствующей информационной системы / лицо, оказывающее услуги идентифицируемому субъекту (например, оператор связи); субъект, который идентифицируется; иные лица
4 Наличие аутентификации Да Нет (например, самоидентификация)
5 По видам технических средств аутентификации** Секретная информация (пароли, сертификаты ключей электронной подписи); уникальные предметы (карточки доступа, иВ8-носители, жетоны, др.); биометрика; иная информация и идентификаторы (например, официальные — ИНН или сетевые), связанные с лицом и используемыми им техническими средствами (например, личной жизнью, персональными данными, его местоположением и т.п.)
Окончание табл.
1 2 3
6 Известность результатов идентификации (для других участников правоотношений после идентификации) Абсолютная (для всех участников отношений) Относительная (только для идентифицирующего лица)
7 Возмездность В России использование ЕС-ИА и систем из других сфер регулирования осуществляется безвозмездно. В современных условиях встречаются случаи использования доверенных систем идентификации третьих лиц, за услуги которых устанавливается вознаграждение
* Вне рамок настоящей статьи находятся вопросы о том, возможна ли и какой правовой статус и юридическую силу имеет «вероятностная идентификация», когда на основе анализа большого объема информации и данных, по отдельности не идентифицирующих лицо, появляется информация о его поведении (действиях), которая, в силу уникальности поведения физического лица, приводит к его идентификации. ** Этот критерий чаще всего используется в качестве основного для технического анализа и классификации информационных систем. При этом средства аутентификации могут быть простыми и сложными в использовании, дешевыми и дорогостоящими, надежными или нет (например, ввод пароля можно подсмотреть, тогда, альтернативно, возможно использовать систему одноразовых паролей). Возможно также использование двухуровневых систем аутентификации.
Безусловно, приведенный перечень критериев не является исчерпывающим и требует дальнейшего развития, учитывая, что рассматриваемый правовой институт является молодым (новым) и пока недостаточно разработанным. Однако подходы к разработке критериев классификации основываются на научном анализе, проведенном автором с учетом особенностей технологий, формирующейся правоприменительной практики, российских и международных правовых актов и зарубежного опыта.
Кроме того, представляется возможным классифицировать процессы идентификации по видам информационных систем, которые используются или к которым осуществляется доступ.
Несомненно, если рассматривать правовой институт идентификации в качестве межотраслевого, то потребуется расширение критериев классификации по отраслям права и законодательства.
Проведенное автором исследование позволяет сделать вывод, что в условиях наличия предложенных и иных критериев правовой идентификации, дальнейшего развития правоотношений и самих информационных технологий необходимо системное правовое регулирование указанных отношений, и первоочередной актуальной научной задачей является разработка продуманного и обоснованного терминологического аппарата в сфере правовой идентификации.
Для правотворческой деятельности и формирования правоприменительной практики представляется важным определить научно обоснованный перечень критериев классификации правовой идентификации и ее видов, которые являются основными, а также установить взаимосвязь между требованиями и видами правовой идентификации и целями и задачами регулирования тех или иных правоотношений. В настоящий момент в качестве основных (основополагающих) критериев могут быть использованы такие, как обязательность наличия правовой идентификации, виды субъектов, которым адресована обязанность осуществить идентификацию, а также виды технических средств аутентификации.
БИБЛИОГРАФИЯ
Наумов В. Б. Вопросы развития терминологии в сфере персональных данных // Понятийный аппарат информационного права. Сб. науч. работ / Отв. ред. И.Л. Бачило, Э.В. Талапина. М., 2015.
Наумов В. Б., Брагинец А.Ю. Правовые проблемы удаленной идентификации на примере регулирования финансовых услуг // Информационное право. 2016. № 1.
