CC BY-NC
24Национальная безопасность / nota bene
Правильная ссылка на статью:
Гулемин А.Н. — Обеспечение безопасности единого федерального информационного регистра, содержащего сведения о населении РФ. Правовые аспекты. // Национальная безопасность / nota bene. - 2020. - № 6. DOI: 10.7256/2454-0668.2020.6.34670 URL: https;//nbpublish.com/Hbrary_read_article.php?id=34670
Обеспечение безопасности единого федерального информационного регистра, содержащего сведения о населении РФ. Правовые аспекты.
Гупемин Артем Николаевич
кандидат юридических наук
доцент, кафедра информационного права, ФГБОУ ВО «Уральский государственный юридический
университет»
620137, Россия, Свердловская обл., г. Екатеринбург, ул. Комсомольская, 23, каб. 205
Статья из рубрики "Правовое обеспечение национальной безопасности"
DOI:
10.7256/2454-0668.2020.6.34670
Дата направления статьи в редакцию:
14-12-2020
Дата публикации:
21-12-2020
Аннотация.
Объектом исследования являются общественные отношения по поводу обработки информации в едином федеральном информационном регистре, содержащем сведения о населении РФ. Предметом исследования помимо ФЗ "О едином федеральном информационном регистре, содержащем сведения о населении РФ" выступает законодательство в области персональных данных и законодательство о критической информационной инфраструктуре. Автор через основные формальные и содержательные признаки определяет указанный регистр как разновидность реестровой информации, обосновывает необходимость применения при создании регистра принципов базовых законов информационного права, ставит вопрос о необходимости признания информационной системы, в которой обрабатываются сведения, включенные в регистр, значимым объектом критической информационной инфраструктуры. Новизна исследования заключается в том, что статья является одним из первых трудов, посвященных правовому обеспечению безопасности создаваемого единого федерального информационного регистра населения РФ. В результате анализа сформулированы следующие основные выводы и предложения по совершенствованию
законодательства: 1) К создаваемому регистру должны применяться принципы правового регулирования, установленные законодательством в отношении информации как объекта правового регулирования, а любые несанкционированные действия с отдельной записью регистра следует расценивать как нарушение целостности всего объекта. 2) В силу особой важности сведений, содержащихся в создаваемом регистре, обязательно установление режима конфиденциальности в отношении самих сведений и признание государственной информационной системы, в которой обрабатываются сведения, включенные в регистр, значимым объектом критической информационной инфраструктуры. 3) Необходимо уточнение в тексте закона «О едином федеральном информационном регистре, содержащем сведения о населении РФ» обязанности оператора государственной информационной системы, ведущего федеральный регистр, соблюдать требования законодательства о безопасности критической информационной инфраструктуры. Также необходимо уточнение положений Постановления Правительства РФ, устанавливающего перечень показателей критериев значимости объектов критической информационной инфраструктуры РФ и их значений.
Ключевые слова: государственная информационная система, персональные данные, критическая информационная инфраструктура, регистр, реестровая информация, оператор информационной системы, защита информации, информационное право, информационное законодательство, режим конфиденциальности
1. Обоснование актуальности проблемы.
Развитие информационно-коммуникационных технологий, их повсеместное внедрение во все сферы человеческой деятельности уже давно и очевидно свидетельствуют о необходимости развития правового обеспечения безопасности в цифровом пространстве и усилении мер, направленных на защиту конфиденциальности особо важных сведений о жизни и деятельности личности, общества и государства, от внешних и внутренних угроз и сохранение их целостности.
Меры, принимаемые государством на федеральном уровне и на уровне субъектов федерации в целях борьбы с распространением новой коронавирусной инфекции, помимо всего прочего, также включали в себя обработку большого количества данных о гражданах в информационно-коммуникационной среде. Заявляемые в СМИ факты незаконного обнародования и распространения баз данных, содержащих персональные данные о заболевших -Ш в очередной раз поднимают вопрос о необходимости усиления государственного контроля за сбором и обработкой подобного рода сведений.
В июне 2020 года Президентом РФ подписан Федеральный Закон «О едином федеральном информационном регистре, содержащем сведения о населении Российской
Федерации» ^^ целью которого является создание регистра данных (далее - Единый федеральный информационный регистр), сформированных на основе сведений о гражданах Российской Федерации, об иностранных гражданах и лицах без гражданства, которые содержатся в государственных информационных системах органов государственной власти Российской Федерации, органов управления государственными внебюджетными фондами. Принятие закона логически служит достижению цели государства, направленной на совершенствование системы управления и перевод исполнения государственных функций и оказания всех публичных услуг в электронную форму. Вместе с тем принятие закона на теоретическом уровне обнажает необходимость выявления роли, места и значения правового института реестровой информации в системе права, механизмов повышения эффективности и совершенствования системы
информационного законодательства о реестровой информации.
Федеральным законом «О безопасности критической информационной инфраструктуры
Российской Федерации» I3 вводится понятие критической информационной инфраструктуры (далее - КИИ) как совокупности информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, а также сетей электросвязи, используемых для организации взаимодействия указанных элементов в наиболее важных областях деятельности государства и российских юридических лиц и индивидуальных предпринимателей. К таким областям закон относит здравоохранение, науку, транспорт, связь, энергетику, банковскую сферу и иные сферы финансового рынка, топливно-энергетический комплекс, атомную энергетику, оборонную, ракетно-космическую, горнодобывающую, металлургическую и химическую промышленность. Основанием для отнесения объектов к КИИ является их особая важность для функционирования государства и общества, а причинение им «ущерба может привести к разрушающим и необратимым последствиям для их защищенности, а исходя из того, что КИИ выступает связующим звеном между другими областями национальной инфраструктуры, это неизбежно приведет к негативным для них
последствиям» Стоит признать, что в цифровую эпоху незаконные действия с персональными данными также могут привести к негативным последствиям для функционировании всех областей общественной деятельности, а по тяжести причиненного вреда субъектам персональных данных могут быть сравнимы с причинением вреда объектам КИИ.
2. Единый федеральный информационный регистр в системе реестровой информации.
До настоящего времени в науке и практике не сложилось единого понимания реестровой информации. Использование в нормативных актах разных понятий, которые, по сути, определяют один и тот же информационный ресурс (реестр, регистр, кадастр и т.п.) может быть охарактеризовано как «некий хаос множества, беспорядочность и терминологическая пестрота. Анализ нормативных правовых актов, регулирующих порядок создания и ведения списочных массивов информации, свидетельствует об
отсутствии единообразия в выборе их наименований» Теоретический анализ указанных выше понятий позволяет сформулировать их основные формальные и содержательные признаки, к которым можно отнести:
- информационную природу этих объектов. Все они являются совокупностью информации, соответственно при осуществлении информационных процессов в отношении них (сбора, обработки, накопления, хранения, поиска, распространения и т.д.) должны применяться принципы правового регулирования, установленные в отношении информации ФЗ «Об информации, информационных технологиях и о защите информации»
- информация в указанных объектах обладает признаком массивности. В них содержится совокупность учетных сведений (записей) в достаточно большом объеме и любые несанкционированные действия с отдельной записью (модификация, уничтожение, копирование и т.п.) являются нарушением целостности всего объекта и, соответственно, могут повлечь установленную законом ответственность;
- любой такой объект представляет собой систематизированную, особым образом упорядоченную, совокупность данных, имеющую особую структуру, облегчающую выполнение задач, для решения которых он создан;
- списочный массив информации в этих объектах обусловлен особой - учетной (регистрационной) формой государственного управления.
Несмотря на небольшое количество научных исследований в науке информационного права сложилось понятие реестровая информация (реестр) отвечающее указанным выше признакам, к разновидностям которой относятся, собственно, реестры, регистры, классификаторы, номенклатуры и иные систематизированные массивы информации, имеющие значение для осуществления процессов управления. Таковым должен быть признан и Единый федеральный информационный регистр. Анализ федерального закона в силу отсутствия в действующем законодательстве понятия «информационный ресурс» позволяет определить этот регистр как базу данных, обрабатываемую с использованием информационных технологий и технических средств, то есть как элемент информационной системы.
Научные исследования выделяют два вида реестров: «1) имеющих правоустанавливающее и учетное значение; 2) имеющих исключительно учетное значение. При этом единые государственные реестры, которые являются объектами уголовно-правовой охраны в соответствии с уголовным законодательством Российской
Федерации, все без исключения относятся к первому виду» I71. Анализируя закрепленные в законе цели формирования ведения и использования федерального регистра сведений о населении можно признать, что хотя сам по себе факт внесения записи о физическом лице в регистр не будет непосредственно порождать, изменять либо прекращать правоотношения, само включение (изменение) сведений в него будет иметь значение юридического факта (являться завершающим элементом сложного юридического состава), которому предшествует индивидуально-правовой акт уполномоченного органа, вынесенный в отношении конкретного субъекта. И в силу особой значимости сведений, содержащихся в регистре, установлении в отношении них режима конфиденциальности, следует признать обязательность их правовой охраны.
В системе информационного законодательства, из-за отсутствия кодифицированного акта, принято выделять базовые и специальные законы. Базовые законы определяют с помощью основных положений нормативный правовой климат правового обеспечения для всей информационной сферы человеческой деятельности в целом, а специальные направлены на правовое регулирование отдельных областей информационной
деятельности и установление правового режима отдельных видов информации Сведения и идентификаторы, включенные в Единый федеральный информационный регистр относятся к категории персональных данных, следовательно, их обработка должна осуществляться не только в соответствии с принципами, указанными в ФЗ «О едином федеральном информационном регистре, содержащем сведения о населении Российской Федерации», но и обеспечивать соблюдение принципов, закрепленных в базовых законах ФЗ «Об информации, информационных технологиях и о защите
информации» и ФЗ «О персональных данных»
Не имея задачи составить список принципов, закрепленных в указанных правовых актах, которые, тем не менее, должны относиться к порядку обработки данных в Едином федеральном информационном регистре, следует, однако, остановиться на одном из них, используемом критиками ФЗ «О едином федеральном информационном регистре, содержащем сведения о населении Российской Федерации». Так Федеральным Законом «О персональных данных» не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой, содержание и объем обрабатываемых персональных данных должны
соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки (ст. 5). Анализ статьи 4 ФЗ «О едином федеральном информационном регистре...» тем не менее, позволяет признать, что данный принцип был соблюден указанием цели «создания системы учета сведений о населении Российской Федерации, обеспечивающей их актуальность и достоверность» для исполнения определенного перечня государственных функций, направленных в первую очередь на предоставление государственных и муниципальных услуг и выполнение государственных и муниципальных функций, в том числе в электронной форме. Вместе с тем опасения критиков о возможности нарушения целостности регистра, его возможном хищении и незаконном распространении, не дос та то ч но с ти пра в ов ых с по с о б о в обе с пе ч е ния инфо рма цио нно й бе з о па с нос ти регистра, безусловно, должны быть учтены законодателем, в том числе путем отнесения регистра к объектам критической информационной инфраструктуры и установлением дополнительных мер ответственности за неправомерные действия с ним.
3. Единый федеральный информационный регистр как элемент критической информационной инфраструктуры.
Российский законодатель, устанавливая в ст. 9 ФЗ «Об информации, информационных технологиях и о защите информации» виды информации ограниченного доступа выделил логически три группы конфиденциальной информации - государственную тайну, иные виды тайн и персональные данные. В силу установления закона в отношении персональных данных определен расширенный перечень исключений, когда доступ к ним возможен без согласия самого субъекта персональных данных, в частности без согласия субъекта возможна их обработка для осуществления и выполнения возложенных законодательством РФ на оператора персональных данных функций, полномочий и обязанностей, для достижения общественно значимых целей, в порядке и на условиях,
предусмотренных иными законодательными актами 1АШ. Предполагается, что разглашение персональных данных не может принести такого ущерба безопасности, как разглашение коммерческой или государственной тайны. Общественное мнение также зачастую расценивает противоправные действия с персональными данными как нечто незначительное. Но что делать, когда под угрозу поставлена конфиденциальность не одного субъекта, а группы лиц? Так, по оценкам Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России за 2018 год из-за утечек персональных данных клиентов только кредитные организации понесли ущерб в
более чем 2 млрд. рублей Кроме того, объектом множества киберпреступлений с использованием вредоносных программ, а также специфических возможностей операционных систем, позволяющих получить удаленный доступ к информационным ресурсам становится информация, содержащаяся в государственных информационных
системах ¿I2!. И если банковская сфера в настоящее время понимает значимость ущерба, причиняемого разглашением персональных данных, в других сферах -здравоохранения, образования, социальной - пока такого не наблюдается.
Единый федеральный информационный регистр, будет собирать 10 видов сведений о физическом лице и 14 видов идентификаторов о нем, получая информацию из различных баз данных органов государственной власти. Несанкционированное обнародование таких сведений может, безусловно, привести как к материальному, так и моральному ущербу. Персональные данные граждан, обрабатываемые в государственных информационных системах «требуют особой нормативной и технологической защиты»
Одним из способов контроля соблюдения конфиденциальности данных регистра видится отнесение его к объектам критической информационной инфраструктуры и, как
следствие, установление повышенных требований к оператору регистра в отношении защиты от компьютерных инцидентов и компьютерных атак.
Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» и принятые в соответствии с ним подзаконные акты, определяя правила категорирования объектов КИИ, порядок ведения реестра значимых объектов КИИ, вместе с тем не устанавливают четкие положения по отнесению той или иной организации к субъектам КИИ, зачастую оставляя это на усмотрение самих субъектов. Вследствие этого видится необходимым внести изменения в п.3 ч.5 ст.9 ФЗ «О едином федеральном информационном регистре, содержащем сведения о населении Российской Федерации» и изложить его в следующей редакции:
«5. Оператор государственной информационной системы осуществляет:...
3) защиту сведений, содержащихся в федеральном регистре сведений о населении, в соответствии с требованиями настоящего Федерального закона, законодательства Российской Федерации об информации, информационных технологиях и о защите информации, законодательства Российской Федерации в области персональных данных, законодательства о безопасности критической информационной инфраструктуры, законодательства Российской Федерации о государственной и иной охраняемой законом тайне при их обработке в государственной информационной системе»
Такое закрепление позволит однозначно отнести информационную систему, содержащую регистр, к объектам КИИ и распространить на субъекта - оператора Единого федеральный информационный регистра - обязанности, закрепленные в ст. 9 ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» в том числе в части незамедлительного реагирования и информирования о компьютерных инцидентах в системе, соблюдения требований по обеспечению безопасности значимых объектов КИИ и выполнения предписаний об устранении нарушений.
Закон «О безопасности критической информационной инфраструктуры Российской Федерации» предусмотрел категорирование объектов КИИ в зависимости от, в том числе, их социальной значимости, выражающейся в оценке возможного ущерба, причиняемого жизни или здоровью людей, а также максимальном времени отсутствия доступа к государственной услуге для получателей такой услуги. Во исполнение этого положения
Правительством РФ принято Постановление1141, определяющее перечень показателей критериев значимости объектов КИИ и их значений. Устанавливаются три категории значимости объектов критической информационной инфраструктуры, причем субъекты КИИ самостоятельно определяют категорию значимости принадлежащим им объектам КИИ, а в случае если объект КИИ не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий. Несанкционированная модификация или уничтожение, находящихся в Едином федеральном информационном регистре персональных данных может повлечь сбой в предоставлении государственной или муниципальной услуги (показатель 1.5 перечня -Социальная значимость. Отсутствие доступа к государственной услуге). Однако само по себе несанкционированное копирование (и как следствие их разглашение) сведений из регистра, не нарушающее его целостности, также может повлечь значимые негативные последствия, как для физических лиц, так и для государства в целом. Видится необходимым дополнить перечень показателей критериев значимости пунктом, оценивающим причинение нематериального ущерба, вызванного разглашением персональных данных в зависимости от объема незаконно полученных из регистра сведений.
4. Выводы.
1) Создаваемый единый федеральный информационный регистр, содержащий сведения о населении РФ является базой данных по смыслу гражданского законодательства и разновидностью реестровой информации по смыслу информационного права. К регистру должны применяться принципы правового регулирования, установленные законодательством в отношении информации как объекта правового регулирования, а любые несанкционированные действия с отдельной записью регистра следует расценивать как нарушение целостности всего объекта.
2) Сама по себе необходимость описания нового создаваемого регистра исключительно в рамках теоретических концептов в очередной раз поднимает вопрос о необходимости принятия единого правового акта, регулирующего порядок создания и использования информационных ресурсов, содержащих реестровую информацию, унифицирующего понятия и виды реестровой информации, общие требования к их ведению и правовой режим их использования.
3) В силу особой важности сведений, содержащихся в создаваемом регистре, обязательно установление режима конфиденциальности в отношении самих сведений и признание государственной информационной системы, в которой обрабатываются сведения, включенные в регистр, значимым объектом критической информационной инфраструктуры, нарушение целостности которого может привести к негативным социальным последствиям.
4) Видится необходимым уточнение в тексте закона «О едином федеральном информационном регистре, содержащем сведения о населении Российской Федерации» обязанности оператора государственной информационной системы, ведущего федеральный регистр, соблюдать требования законодательства о безопасности критической информационной инфраструктуры. А также дополнение перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений пунктом, оценивающим причинение нематериального ущерба, вызванного разглашением персональных данных в зависимости от объема незаконно полученных из регистра сведений.
Библиография
1. Напр. «Инфекция с персональными осложнениями. В Сеть попали личные данные москвичей, переболевших COVID-19» / Газета РБК. № 110. 10.12.2020 — URL: https://www.rbc.ru/newspaper/2020/12/10/5fd0c9fb9a7947576ce3936b (дата обращения: 18.12.2020).
2. О едином федеральном информационном регистре, содержащем сведения о населении Российской Федерации: Федеральный закон от 08.06.2020 № 168-ФЗ // Российская газета, 11.06.2020, № 126
3. О безопасности критической информационной инфраструктуры Российской Федерации: Федеральный закон от 26.07.2017 № 187-ФЗ // Российская газета, 31.07.2017, № 167
4. Трунцевский Ю.В. Неправомерное воздействие на критическую информационную инфраструктуру: уголовная ответственность ее владельцев и эксплуатантов // Журнал российского права. 2019. № 5. С. 99-106.
5. Антонова Е.Е. Правовое регулирование формирования и использования реестровой информации: дисс. на соискание уч. ст. кандидата юридических наук:
специальность 12.00.14 / «Уральская государственная юридическая академия».-Екатеринбург, 2012.
6. Об информации, информационных технологиях и о защите информации: Федеральный закон от 27.07.2006 № 149-ФЗ (ред. от 08.06.2020) // Российская газета, 29.07.2006, № 165
7. Чаннов С.Е. Реестр и информационная система: соотношение понятий // Информационное право. 2017. N 3. С. 4-10.
8. Кузнецов П.У. Информационное законодательство как базовый компонент образовательного процесса // Информационное право. 2016. N 2. С. 38-42.
9. О персональных данных: Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 24.04.2020) // Российская газета, 29.07.2006, № 165
10. О персональных данных: Федеральный закон. ст. 6
11. ЦБ впервые раскрыл масштаб продаж персональных данных россиян / Газета РБК 10.10.2019. - URL:
https://www.rbc.ru/finances/10/10/2019/5d9e05ce9a79474c70839c73 (дата обращения: 18.12.2020).
12. Сухаренко А.Н. Законодательное обеспечение информационной безопасности в России // Российская юстиция. 2018. N 2. С. 2-5.
13. Попова Н.Ф. Необходимость цифровизации государственного управления в РФ // Административное право и процесс. 2020. N 2. С. 48-53.
14. Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений: Постановление Правительства РФ от 08.02.2018 № 127 (ред. от 13.04.2019) // Официальный интернет-портал правовой информации http://www.pravo.gov.ru, 13.02.201
Результаты процедуры рецензирования статьи
В связи с политикой двойного слепого рецензирования личность рецензента не раскрывается.
Со списком рецензентов издательства можно ознакомиться здесь.
Предметом представленной на рецензирование рукописи является новый Федеральный закон от 8 июня 2020 года №168-ФЗ «О едином федеральном информационном регистре, содержащем сведения о населении Российской Федерации». В частности, автора заинтересовали правовая природа и свойства вводимого данным законом понятия «федеральный информационный регистр сведений о населении Российской Федерации», а также его соотношения с уже имеющимися в информационном законодательстве категориями. В качестве методов научного познания, автор использует достаточно богатый арсенал средств, в частности анализ и синтез, обобщение, моделирование, формально-логический и ряд эмпирических методов. Например, в исследовании приводятся данные Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России за 2018 год и некоторые др. Актуальность темы не вызывает сомнений, что объясняется новизной анализируемых в публикации явлений, а также значимость надлежащей защиты любых информационных данных. Научная новизна видится в выводах и рассуждениях автора. Так имеет научное значение предлагаемые формальные и содержательные признаки реестровой информации (автор выделил 4 таких признака), мнение об обязательности правовой
охраны данных информационного регистра, в силу особой значимости сведений, содержащихся в нем. В работе указывается на неоправданность общественного мнения о том, что разглашение персональных данных не может принести такого ущерба безопасности, как разглашение коммерческой или государственной тайны. Кроме того, автор доказывает необходимость отнесения информационного регистра сведений о населении Российской Федерации к объектам критической информационной инфраструктуры, понятие которых дано в Федеральном законе от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Как следствие, автором вносится важное предложение закрепить данное положение в Федеральном законе «О едином федеральном информационном регистре, содержащем сведения о населении Российской Федерации» и установить дополнительные меры ответственности за неправомерные действия с информационным регистром. Структурно рукопись разделена 4 части. В первой автор обосновывает актуальность и наличие проблемы в уяснении места новой категории - информационного регистра сведений о населении в системе информационной информации и необходимости обеспечения правовой защиты сведений, содержащихся в нем. Во второй части дается определение названному понятию. В третьей части доказывается, что единый федеральный информационный регистр является элементом критической информационной инфраструктуры. В четвертой обобщаются полученные результаты исследования. Замечаний нет. Статья изложена на высоком теоретическом уровне, превосходно аргументирована. На основании изложенного, полагаем, что материал будет интересен широкому кругу читателей рекомендуем рукопись к опубликованию.
