Проблемы и приоритетные направления организационно-правового обеспечения конфиденциальности информации при использовании цифровых технологий Текст научной статьи по специальности «Право»

тз

L-—^ i,

'МШН1Ш Качалова Г. Г.

УНИВЕРСИТЕТА Проблемы и приоритетные направления

имени o.e. кутафина(мгюА) организационно-правового обеспечения конфиденциальности.

ПРОБЛЕМЫ И ПРИОРИТЕТНЫЕ НАПРАВЛЕНИЯ ОРГАНИЗАЦИОННО-ПРАВОВОГО ОБЕСПЕЧЕНИЯ КОНФИДЕНЦИАЛЬНОСТИ ИНФОРМАЦИИ ПРИ ИСПОЛЬЗОВАНИИ ЦИФРОВЫХ ТЕХНОЛОГИЙ1

Аннотация. Цифровизация всех сфер жизнедеятельности ведет к появлению дополнительных факторов правового обеспечения конфиденциальности информации. Наибольшее внимание среди указанных факторов в статье уделено вопросам импортозамещения аппаратных и программных средств обработки и защиты информации ограниченного доступа, организационно-правовым проблемам ограничения оборота специальных технических средств, предназначенных для негласного получения информации, а также новым рискам и угрозам информационного общества в контексте использования технологии больших данных (big data) и систем искусственного интеллекта. В отношении технологии искусственного интеллекта сформулированы правовые решения вопросов обеспечения права на неприкосновенность частной жизни, безопасности персональных данных и иной личной информации. В работе сделан вывод о достижимости максимального эффекта защищенности конфиденциальности информации лишь при учете всех факторов цифровизации и применении комплекса разнонаправленных и разноуровневых мер, учитывающих динамичность процесса защиты информации в условиях информационного общества. Ключевые слова: конфиденциальность, информация ограниченного доступа, правовой режим, цифровые технологии, организационные меры, правовые меры.

Гульфия Гафиятовна КАМАЛОВА,

заведующий кафедрой

информационной

безопасности в управлении,

доцент кафедры

криминалистики и судебных

экспертиз

Удмуртского

государственного

университета,

кандидат юридических

наук, доцент

gulfia.kamalova@gmail.com

426034, Россия, Удмуртская Республика, г. Ижевск, ул. Университетская, д. 1

DOI: 10.17803/2311-5998.2019.64.12.045-052

1 Исследование выполнено при финансовой поддержке РФФИ в рамках научного проекта № 18-29-16014 «Место и роль правового регулирования в развитии цифровых технологий, правовое регулирование и саморегулирование, в том числе с учетом особенностей

отраслей права». © Г. Г. Камалова, 2019

) УНИВЕРСИТЕТА

L-—имени О. Е. Кугафи на (МПОА)

G. G. KAMALOVA, Head of the Department of Information Security in Management, Associate Professor, Department of Forensics and Forensics Udmurt State University, Candidate of Law, Associate Professor gulfia.kamalova@gmail.com 426034, Udmurt Republic, Izhevsk, ul. Universitetskaya, 1 PROBLEMS AND PRIORITY DIRECTIONS OF ORGANIZATIONAL LEGAL ENSURING CONFIDENTIALITY OF INFORMATION USING DIGITAL TECHNOLOGIES Abstract. Digitalization of all spheres of life leads to the emergence of additional factors to ensure the confidentiality of information. The greatest attention among these factors in the article is given to the issues of import substitution of hardware and software for processing and protecting restricted access information, organizational and legal problems of restricting the turnover of special technical means intended for secretly receiving information, as well as to new risks and threats of the information society in the context of using large technologies data (big data) and artificial intelligence systems. With regard to artificial intelligence technology, legal solutions are formulated to ensure the right to privacy, security of personal data and other personal information. The paper concludes that it is necessary to take into account the specifics of the latest digital technologies when building a system of organizational and legal measures to ensure confidentiality. Keywords: confidentiality, restricted access information, legal regime, digital technologies, organizational measures, legal measures.

Состояние конфиденциальности без проведения организационно-правовых мер уязвимо в отношении проявлений деструктивных воздействий. Всеобщая цифровизация и изменение деятельности под ее влиянием привели к формированию дополнительных факторов в этой сфере. Сегодня факты реализации угроз конфиденциальности информации при использовании цифровых технологий обыденны. Так, еженедельно Сбербанк фиксирует более пяти тысяч кибератак с общим потенциальным ущербом порядка 700 млн рублей2. Под воздействием цифровизации ситуация лишь усложняется, о чем свидетельствуют множество свежих данных. Например, в 2019 г. ОАО «Российские железные дороги» подтвердило факт утечки в открытые источники персональных данных 703 тыс. работников компании предположительно в результате взлома базы данных3.

2 Еженедельно Сбербанк фиксирует свыше 5 тыс. атак с применением социальной инженерии (см.: URL: http://www.securitylab.ru/news/486533.php. 04.06.2017 (дата обращения: 29.08.2019)).

3 «РЖД» подтвердили утечку данных более 700 тыс. сотрудников // Коммерсантъ. Новости. 27.08.2019. URL: https://www.kommersant.ru/doc/4073595 (дата обращения: 29.08.2019).

тз

L-—^ i,

УНИВЕРСИТЕТА Проблемы и приоритетные направления ^4 7

имени o.e. кугафина(мгюА) организационно-правового обеспечения конфиденциальности.

Эти и иные факты показывают ключевое значение безопасности использования цифровых технологий при охране конфиденциальности. Вместе с тем здесь имеется множество нерешенных вопросов.

Общеизвестно, что автоматизированная обработка информации создает возможность несанкционированного копирования больших объемов данных на внешние носители и мгновенной их передачи на значительные расстояния. Масштабная утечка информации ограниченного доступа возможна из-за несовершенств оборудования, программного обеспечения, организации защиты информации и правовых средств обеспечения конфиденциальности. Проблемы обеспечения безопасности использования информационных технологий детерминируются их потенциальной уязвимостью в связи с периодическим обновлением аппаратного и программного обеспечения, их высокой сложностью, потребностью сохранения стабильности используемых средств на обозримый промежуток времени, постоянным возникновением новых способов несанкционированного проникновения в систему и территориальной распределенностью.

В России уже заложена правовая основа обеспечения информационной безопасности. Однако требуется дальнейшее ее совершенствование для формирования условий вывода нашей страны на уровень развитой цивилизации. Стремительно ворвавшиеся в правовое поле технологии блокчейна, больших данных (big data), облачных вычислений, интернета вещей, систем искусственного интеллекта и иные сквозные технологии ставят новые задачи. Ученые отмечают, что меняющаяся реальность требует модернизации правовых средств, и нередко высказывают неудовлетворенность динамикой правового регулирования цифровых технологий.

В настоящее время предъявляются особые требования к автоматизированным системам, содержащим государственную тайну. Для охраны иной информации ограниченного доступа в государственных автоматизированных информационных системах также разработаны и утверждены специальные требования. Исключительную значимость имеет защита информации о мерах безопасности в отношении объектов, критически важных для охраны жизни и здоровья людей, населенных пунктов, производственных объектов и обеспечения экологии. В связи с динамичным развитием цифровых технологий все более ощутима значимость саморегулирования в этой сфере путем формирования документов стандартизации, договорной базы, деятельности само-

в р

регулируемых организаций.

□ >

Однако предпринимаемые меры могут быть неэффективны из-за используемых аппаратных средств, их элементной базы, системного и прикладного программного обеспечения зарубежного производства. Поэтому для обеспече- И т

ния информационной безопасности в России на передний план выходят меры ор

по импортозамещению, особенно в контексте защиты государственной тайны. ^У

сп "о

В последние годы был разработан ряд отечественных операционных систем.

Вместе с тем их базой явился открытый код систем Linux, что с позиции обеспечения информационной безопасности вызывает некоторые опасения, так как ЗЩ компрометация защищенности информации со свойством конфиденциальности ПН влечет ущемление прав и свобод различных лиц, подрыв веры в идею эффективного электронного взаимодействия и отрицательно влияет на темпы внедре- ности

) УНИВЕРСИТЕТА

L-—имени О. Е. Кугафи на (МПОА)

ния новых форм информатизации. Кроме того, нередко раскрытие информации ограниченного доступа, интерпретированной в недружественном ракурсе, в условиях ведущихся информационных войн позволяет сформировать восприятие событий и фактов в нежелательном для эффективного государственного управления свете и тормозить развитие России.

Юридическое сообщество в последнее время активно обсуждает правовые проблемы, связанные с технологией больших данных4, интерес к которой обусловлен потенциалом данного рынка и одновременно возможностью вмешательства в частную жизнь человека. Большие данные открывают новые технологические перспективы в целом ряде сфер деятельности: в медицине, государственном управлении, производстве, торговле и множестве других, так как их анализ обеспечивает преимущество в интеллектуальной сфере. Продвижение этой технологии создает предпосылки перехода на более высокий уровень государственного управления и российского бизнеса. Однако правовое регулирование отношений при использовании этой цифровой технологии должно строиться с учетом принципа баланса интересов всех сторон, что сопряжено с определением пределов вмешательства в частную жизнь граждан, охраной персональных данных, регламентацией взаимодействия операторов связи и поставщиков интернет-услуг с заинтересованными структурами.

Основными рисками обработки больших данных в контексте защиты прав человека связаны с возможностью слежки и утечки личных данных, в том числе за рубеж, их раскрытия и коммерциализации, информационного давления и информационного пузыря. В Государственную Думу РФ в 2018 г. был внесен законопроект № 571124-75, предусматривающий запреты для оператора и его обязанности в контексте обработки больших пользовательских данных для целей третьих лиц, включая запрет обрабатывать такие данные для идентификации конкретного физического лица, за исключением случаев запроса оперативно-розыскных органов.

Не меньшую значимость имеет создание условий для обработки больших данных с соблюдением законодательства о персональных данных. Так как использование больших данных становится перспективной стратегией в бизнес-сфере, а персональные данные — необходимым их фактором, то компании нередко предлагают бесплатный функционал для сбора информации личного характера. При этом значительная часть больших данных локализована в наднациональном пространстве сети Интернет, что создает дополнительные риски.

Интеграция и глобализация, в становлении которых главную роль играют цифровые технологии, создали условия для взаимопроникновения норм права

4 См. например: Жарова А. К., Елин В. М. Обеспечение безопасности персональных данных в эпоху больших данных // Динамика институтов информационной безопасности: правовые проблемы : сб. науч. тр. / отв. ред. Т. А. Полякова, В. Б. Наумов, Э. В. Талапи-на. М., 2018. С. 174—181 ; Сергеев А. П., Терещенко Т. А. Большие данные: в поисках места в системе гражданского права // Закон. 2018. № 11. С. 106—123.

5 Проект федерального закона № 571124-7 «О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации"» // URL: http:// sozd.parlament.gov.ru (дата обращения: 23.10.2018).

73

L-—^ Ii

УНИВЕРСИТЕТА Проблемы и приоритетные направления

имени o.e. кугафина(мгюА) организационно-правового обеспечения конфиденциальности.

различных государств, получившего название диффузии права6. В результате сегодня как никогда ощущается влияние права зарубежных государств на российское и стираются границы между правовыми системами. Это во многом породило проблемы международного комплаенса в контексте безопасности обработки персональных данных.

Определенные организационно-правовые проблемы обеспечения конфиденциальности вызваны возможностью приобретения гражданами на зарубежных сайтах товаров, запрещенных или ограниченных к обороту в России, включая технические средства, функцией которых является негласное получение информации. В целях предотвращения несанкционированного ввоза подобных устройств на территорию таможенной территории ЕАЭС они включены в перечень товаров, в отношении которых действует разрешительный порядок ввоза7.

Спорные ситуации в отношении приобретенного дистанционно возникают, так как потребитель не всегда готов адекватно оценить ограниченность оборота вещи. Основными критериями отнесения к указанным средствам суды признают наличие режима скрытого включения, высокую чувствительность устройства, скрытность работы, закамуфлированность и возможность выявления лишь специальными приборами; предназначение их именно для негласного контроля информации, включая осуществление функций по специальному алгоритму, запускаемому с удаленного устройства и незаметно. Относительно технических средств, которые по своим техническим характеристикам или прямому функциональному предназначению рассчитаны лишь на бытовое использование массовым потребителем, то суды их относят к таким средствам, только если им намеренно приданы качества и свойства для неочевидного и скрытного их применения8.

Развитие искусственного интеллекта как одна из стратегических целей России9 ставит новые задачи, решение которых позволит праву продемонстрировать свою универсальную регулирующую силу. Уже сегодня медицинские, бытовые, торговые роботы, искусственный интеллект в поисковых системах осуществляют сбор и обработку личных данных. Повсеместное внедрение систем искусствен-

6 Семилютина Н. Г. Глобализация международных хозяйственных связей, информационные технологии и выход на новый уровень диффузии в праве // Журнал российского

права. 2015. № 5. С. 134—141. и

7 Решение Коллегии Евразийской экономической комиссии от 21.04.2015 № 30 (ред. фр от 09.07.2019) «О мерах нетарифного регулирования» // Официальный сайт ЕАЭС.

URL: http://www.eaeunion.org/, 22.04.2015.

8 Постановление Конституционного Суда РФ от 31.03.2011 № 3-П «По делу о проверке >Ш конституционности части третьей статьи 138 Уголовного кодекса Российской Федерации и щ в связи с жалобами граждан С. В. Капорина, И. В. Коршуна и других» // Вестник Конститу- о е ционного Суда РФ. 2011. № 3 ; постановление Пленума Верховного Суда РФ от 25.12.2018 н у № 46 «О некоторых вопросах судебной практики по делам о преступлениях против кон- щ( и ституционных прав и свобод человека и гражданина (статьи 137, 138, 138.1, 139, 144.1, бр 145, 145.1 Уголовного кодекса Российской Федерации)» // Рос. газета. 2019. 9 янв.

Указ Президента РФ от 10.10.2019 № 490 «О развитии искусственного интеллекта в Рос-

пн

сийской Федерации» // Официальный интернет-портал правовой информации. URL: http:// с е

www.pravo.gov.ru. 11.10.2019. ности

) УНИВЕРСИТЕТА

а-—^ имени О. Е. Кугафи на (МПОА)

ного интеллекта усугубит наметившуюся проблему охраны неприкосновенности частной жизни в контексте развития этих цифровых технологий.

Сегодня исследователи выражают обеспокоенность распространением различных технологий на основе искусственного интеллекта, влекущих получение дополнительных данных. Например, технология «аналитики трудовых ресурсов» (people analytics) позволяет автоматически оценивать платежеспособность заемщика, качество выполняемой сотрудником работы, сведения из резюме и т.д. Полученная «прогностическая» информация все чаще заменяет человеческие суждения и влияет на принимаемые решения, в том числе имеющие юридически значимые последствия. Учитывая высокую закрытость для непосвященного человека моделей принятия решений интеллектуальными системами и значительные риски нарушения прав, следует выравнивать возникающую информационную асимметрию средствами права, на что справедливо акцентировано внимание А. И. Савельевым10.

Автоматический сбор, накопление и обработка больших массивов информации личного характера особенно выражены при использовании в работе искусственной интеллектуальной системы информационных моделей поведения пользователя, что не может не вызывать обеспокоенности юристов и требует детальной правовой регламентации. Основными способами нарушения неприкосновенности частной жизни здесь являются: передача собранных системой данных третьим лицам; несанкционированный сбор данных непосредственно такой системой. Интеллектуальные устройства, используемые в быту и в медицине, получают доступ к наиболее частным и интимным сферам. Эффект вмешательства в частную жизнь лица здесь усугубляется аккумулированием данных о личных предпочтениях лица, собранных в традиционно закрытых сферах, что особо чувствительно при использовании интеллектуальных устройств, взаимодействующих с организмом человека для восполнения утраченных органов и функций или получения дополнительных возможностей.

Следовательно, динамика искусственного интеллекта делает очевидной недостаточность существующих норм о неприкосновенности частной жизни, личной и семейной тайне и безопасности обработки персональных данных. Их правовое регулирование отстает от быстро развивающихся технологий. Поэтому необходим поиск новых правовых решений на основе баланса интересов участников отношений. С одной стороны, необходимо устранять существующие правовые препятствия на пути развития сквозных цифровых технологий, а с другой — гарантия безопасности обработки персональных данных должна рассматриваться как ключевой фактор правового регулирования в сфере использования искусственного интеллекта. В этой связи В. В. Архиповым и В. Б. Наумовым еще в 2017 г. отмечалось, что существующее требование российского законодательства о персональных данных о локализации баз персональных данных на территории нашего государства потенциально может повлиять на оборотоспособность роботов11.

10 Савельев А. И. Научно-практический постатейный комментарий к Федеральному закону «О персональных данных». М. : Статут, 2017. С. 113.

11 Архипов В. В., Наумов В. Б. Информационно-правовые аспекты формирования законодательства о робототехнике // Информационное право. 2017. № 1. С. 19—27.

73

L-—^ Ii

УНИВЕРСИТЕТА Проблемы и приоритетные направления 5Э1

имени o.e. кугафина(мгюА) организационно-правового обеспечения конфиденциальности.

Уже сегодня необходимо законодательно закрепить следующие требования: о недопустимости произвольной обработки личной информации при функционировании системы искусственного интеллекта; о защите программного обеспечения и базы данных такой системы от несанкционированного доступа и модификации; о недопустимости без письменного согласия субъекта данных вскрытия «черного ящика» устройства с искусственным интеллектом, используемого в личных и семейных целях; о недопустимости без письменного согласия субъекта данных локализации таких устройств, а также скрытного использования встроенных систем, в том числе дистанционно; о недопустимости включения в систему незадекларированных функций.

Одновременно с этим развитие систем искусственного интеллекта не антагонистично процессам реализации норм законодательства о персональных данных. А. А. Филиппович высказывает поддерживаемое автором мнение, что системы искусственного интеллекта способны повысить эффективность комплаенса в контексте обработки персональных данных, минимизировать регуляторный риск и уменьшить штрафы для операторов12.

На основе рассмотренного можно сделать вывод, что максимальный эффект защищенности состояния конфиденциальности информации при обработке с использованием цифровых технологий достижим лишь при учете всех факторов цифровизации и применении комплекса разнонаправленных и разноуровневых мер, учитывающих динамичность процесса защиты информации в условиях информационного общества.

БИБЛИОГРАФИЯ

1. Архипов В. В., Наумов В. Б. Информационно-правовые аспекты формирования законодательства о робототехнике // Информационное право. — 2017. — № 1. — С. 19—27.

2. Жарова А. К., Елин В. М. Обеспечение безопасности персональных данных в эпоху больших данных // Динамика институтов информационной безопасности: правовые проблемы : сб. науч. тр. / отв. ред. Т. А. Полякова, В. Б. Наумов, Э. В. Талапина. — М., 2018. — С. 174—181. И

3. Минбалеев А. В. Ограничения в процессе регулирования цифровой экономи- н^ ки // Правовое регулирование цифровой экономики в современных условиях О;> развития высокотехнологичного бизнеса в национальном и глобальном кон- РШ тексте : монография / под общ. ред. В. Н. Синюкова, М. А. Егоровой. — М.,

2019. — С. 40—51. И= т

4. Наумов В. Б. Взаимодействие технологий и права в сфере идентификации // ор Вестник Московского университета. — Серия 26 : Государственный аудит. —

2019. — № 2. — С. 99—113. ОЛ

m~o

5. Полякова Т. А. Цифровизация и синергия правового обеспечения информационной безопасности // Информационное право. — 2019. — № 2. — С. 4—7. зш

--§и

12 Филиппович А. А. Автоматизация комплаенса: миф или реальность? // Предпринима- с е

тельское право. 2019. № 1. С. 54—59. ности

) УНИВЕРСИТЕТА

L-—имени О. Е. Кугафи на (МПОА)

6. Савельев А. И. Научно-практический постатейный комментарий к Федеральному закону «О персональных данных». — М. : Статут, 2017.

7. Семилютина Н. Г. Глобализация международных хозяйственных связей, информационные технологии и выход на новый уровень диффузии в праве // Журнал российского права. — 2015. — № 5. — С. 134—141.

8. Сергеев А. П., Терещенко Т. А. Большие данные: в поисках места в системе гражданского права // Закон. — 2018. — № 11. — С. 106—123.

9. Филиппович А. А. Автоматизация комплаенса: миф или реальность? // Предпринимательское право. — 2019. — № 1. — С. 54—59.