Эксперты – о законе о едином цифровом регистре граждан

Государственная Дума 21 мая приняла в третьем чтении законопроект о едином цифровом регистре граждан. Между тем, как отметил председатель комитета Госдумы по природным ресурсам, собственности и земельным отношениям Николай Николаев в своей передаче «Единый реестр граждан. Кто ответит за безопасность наших данных» на канале Nikolaev Podkast, обсуждение законопроекта проходило «в условиях информационной асимметрии», когда правительство, ФНС, соответствующий комитет Госдумы обладали всей информацией о сути правовой новации, а население оказалось от нее отрезанной, вплоть до момента принятия закона.

Это вызвало негативную реакцию со стороны граждан, связанную с опасениями относительно соблюдения прав и свобод граждан, защиты их личных данных в условиях тотальной цифровизации. 

– Вопросов здесь множество, – отметил Николай Николаев. – В 2013 году было выявлено 11 тысяч преступлений с использованием информационных технологий. В 2014 году – 44 тысячи. В 2016 году – 66 тысяч. В 2018 – уже 174 600 преступлений. За весь 2019 год – уже 294 409 преступлений. И вот, пожалуйста, только за январь-март этого года зарегистрировано уже 101 537 преступлений. То есть каждое пятое преступление – это киберпреступление. Любое движение к еще большей цифровизации нашей жизни невольно вызывает обеспокоенность. И обеспокоенность, прежде всего, уровнем нашей безопасности, – отметил Николай Николаев

Для справки: оператором по созданию единого реестра населения выступает Федеральная налоговая служба РФ. Единый регистр населения – это то, что свяжет данные о человеке, которые уже есть в других ресурсах и используются различными государственными органами. Поставщики данных – ФНС России, Пенсионный фонд, органы образования, занятости, МВД и другие – всего 12 органов власти, как и сейчас, будут отвечать за сбор, обработку, хранение и надежную защиту. В регистре будут храниться только основные сведения о человеке: его фамилия, имя, отчество, дата и место рождения, пол и различные идентификаторы, по которым можно обратиться в другие системы за конкретными сведениями. Например, в системе Пенсионного фонда имеются сведения о доходах гражданина и размере его пенсии. Однако в регистре будет находиться только номер его страхового индивидуального лицевого счета – СНИЛС. В регистре не будет никаких медицинских и биометрических данных, штрих-кодов, телефонов, налогов, имущества, штрафов и тем более никаких описаний свойств личности. Перечень органов и организаций, которым будет предоставлен доступ, и цели получения сведений строго ограничены законом. Обмен информацией будет осуществляться в государственной системе межведомственного взаимодействия. Граждане смогут обратиться через портал Государственных услуг к регистру и проверить сведения о себе.  

Аналитик регионального Общественного центра интернет-технологий, руководитель Центра безопасного интернета Урван Парфентьев:

– Я не могу сказать, что сейчас мы живем в некоем уединенном мире, и потому глупо сопротивляться каким-либо попыткам сбора цифровых данных: сложившаяся сейчас ситуация говорит о том, что мы испытываем явную недостаточность правоприменительных механизмов в области защиты персональных данных, других охраняемых законом цифровых данных в текущей цифровой реальности. То есть если так сравнить, это все равно, что сто лет назад, в эпоху Гражданской войны, сказать, что мы теперь живем в пост-безопасностном мире. Как известно, тогда по всей линии фронта жизнь человека ценилась в копейку. Та же самая ситуация и сейчас. Широкий оборот сохраняемых законом данных в нарушение законных интересов граждан и организаций готовит только о том, что сейчас принимаются недостаточные меры для охраны давно существующего и закрепленного в национальном и международном праве права на приват.

Эксперт отмечает, что законодательство о тайне личной жизни сформировалось достаточно давно. Одновременно формировалось законодательство об охране той или иной информации ограниченного доступа. И появление цифровых каналов – это всего лишь появление нового способа сбора, хранения и распространения информации.

– Большинство данных, по тексту законопроекта, предполагается содержать в новом регистре в виде идентификата, – отмечает Урван Парфентьев. – Видимо, под ними и подразумеваются ключи. Непосредственно в регистре в форме сведений предполагается хранить, собственно, установочные данные на человека. Все остальные данные должны запрашиваться из соответствующих, уже созданных и функционирующих, систем – системы МВД, системы Пенсионного фонда, системы ФНС и так далее. Если говорить о риске утечки, то он увеличивается незначительно, потому что так или иначе будет осуществляться обращение к другим базам данных, это обращение логируется.

Между тем он высказывает сомнения в обоснованности создания нового регистра: «У нас уже давным-давно существует система межведомственного взаимодействия – СМЭВ, которая упоминается и в данном законопроекте. Ничто не мешает базам данных общаться между собой. При том, что в законопроекте в регистре предполагается хранить собственно данные в объеме, ну, в общем-то, паспортного стола, в связи с этим у меня возникает технический вопрос – почему нельзя отталкиваться, собственно, от базы данных МВД, и пристроить к ней соответствующие идентификаторы. Почему проект выглядит как дублирование базы данных паспортного стола под администрированием ФНС?»

Карен Казарян, главный аналитик Российской ассоциации электронных коммуникаций, считает, что новый закон не ухудшает ситуацию с сохранностью персональных данных, поскольку речь идет не об их централизации, а о создании федеративной системы:

– Централизация – это когда все лежит в одной базе. А здесь мы, все же, разделяем, в том числе административными мерами, те данные, которые хранятся. И у нас в одном месте не могут стечься все данные о человеке. Тот, кто должен иметь доступ к определенной информации, будет ее иметь. А в идеале он еще и не должен знать, что это за человек. К примеру, когда запрашивают у Пенсионного фонда историю пенсионных накоплений по ключу, он вообще не должен знать, о каком человеке ее запрашивают. Это, наоборот, повышает надежность. И, в том числе, защищает от утечек данных, при правильной реализации. Когда у нас полностью все перейдет на электронную форму, клиент на тех же Госуслугах на своем мобильном устройстве будет подтверждать, что да, он дал распоряжение на запрос информации, и информация будет отдаваться.

Карен Казарян отмечает неравномерность законодательства, касающегося юридических действий информационных систем. В частности, имеется законодательство об электронных записях, однако в законодательстве об архивах такой нормы нет. «Поэтому, во-первых, нужно распространить на все законодательство понятие «электронных записей», чтобы человеку было чем оперировать, например, в суде, когда человек говорит, что его электронную запись изменили неправомерно. В данном законопроекте предполагается, что любое изменение записи подтверждается ключом. При этом параллельно выстраивается сейчас система новая – электронных подписей. Соответственно, любое действие в системе можно проверить и отследить – кто и как его изменял. При этом, разумеется, все эти данные должны копироваться в несколько мест и архивироваться соответствующим образом, чтобы к ним можно было получить доступ в случае, если пойдет что-то не так. Риски, безусловно, сохраняются, но они становятся значительно меньше», – отмечает эксперт.

По его мнению, остается два важных вопроса: будет ли состав сведений каким-то образом расширяться, и если будет, то по каким основаниям и принципам? «У многих, в том числе региональных властей, возникнет желание, чтобы туда еще дописать. И гражданин должен осознавать, что там будет храниться и что с этим будут делать», – поясняет Карен Казарян. И второе – то, что называется в законодательстве о персональных данных принципом минимизации. Должно храниться только то, что необходимо, и столько, сколько необходимо.

Николай Николаев считает, что важнейший вопрос, ответа на который пока нет – это общественный, гражданский контроль за исполнением закона. 

– Конечно, сопротивляться самому факту появления такого регистра в наш цифровой век вряд ли перспективно, – считает он. – Информация о каждом из нас и так полностью доступна неограниченному количеству заинтересованных лиц. Ну, например, полный доступ к нашей информации есть у сотрудников Многофункциональных центров. Другое дело, пока законодательство не определит все наши взаимоотношения и права в цифровом мире, каждый из нас будет в уязвлен6ном положении. Только подумайте, какой информационный след мы оставляем своими смартфонами, картами, автомобилями. Мы сами, не глядя, подписываем соглашения на хранение и обработку наших персональных данных при получении скидочных карточек, при получении банковских услуг или использовании мобильных телефонов. Однако все ли действия с нашими данными определены законами? Я думаю, вряд ли. Поэтому закон нужно было принимать. И принимать другие законы тоже нужно: нет законов – больше беспорядка. Но скажу по собственному опыту работы в Госдуме: чаще всего инициатор сопротивления попытке навести порядок в той или иной сфере – это те, кто непосредственно пользуются существующим беспорядком. Но вот как будет этот закон исполняться, другой вопрос. Самый действенный способ это проверить – это гражданский или общественный контроль. Только как он может быть реализован в цифровой среде, вопрос, на который я пока не могу получить ответа.