Персональные данные и цифровизация



При стремительно развивающихся цифровых технологиях в большей степени возникает необходимость в защите персональных данных (далее — ПДн) граждан. Их правовая охрана обеспечивает реализацию конституционного права каждого на достоверную информацию в сфере их использования. Автор статьи отмечает, что сложнее всего организовать защиту данных, которые хранятся в электронном виде, что наиболее актуально в свете развивающихся цифровых технологий. Исследуются возможные пути для совершенствования правового регулирования в сфере защиты персональных данных, в частности: введение в структуру защиты данных регламента электронной конфиденциальности; разработка механизмов обеспечения информационной безопасности; усиление защищенности информационных систем и сетей связи; создание современной электронной компонентной базы.

Итак, мы живем в эпоху перемен. Мир стремительно меняется вследствие научных и технологических трансформаций. Планируются и реализуются системные меры, направленные на защиту такого ресурса, как ПДн, но чтобы претендовать на лидерство в данной области, требуется приложить ряд усилий для обеспечения надежности и стабильности.

Представление об универсальности прав человека гармонично сочетается с нейтральностью и универсальностью цифровых технологий. В эпоху цифровизации сущность человека и связанные с ней ценности не меняются, и именно права человека могут стать унифицирующей целевой перспективой при определении отношения к различным новым технологиям. Цифровая же среда — именно то пространство, которое закономерно притягивает к себе массовое правосознание. Взаимодействие человека и государства строится посредством оцифровки системы ПДн и имеет отражение в формате цифрового профиля гражданина. Цифровой профиль гражданина — ресурс ПДн человека для реализации прав и свобод и несения обязанностей перед государством. Он отражает совокупность психологических, эмоциональных, физических, социальных характеристик гражданина, данные цифрового профиля также отражают состояние финансового благополучия граждан, наличие оснований для получения социальной помощи от государства, установление патронажа или контроля, меру возможного взаимодействия с финансовыми институтами и уровень решения вопроса карьерного роста граждан и другие показатели, и параметры [1].

На сегодняшний день принято значительное количество законодательных актов по данной тематике, но, полагаю, еще не установлены единые правила в цифровой среде, поскольку вопрос, что является первичным — права гражданина (защита ПДн) или товар (продажа ПДн), — не решен окончательно.

Новеллы, проекты и изменения законодательства о ПДн

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ) [2] находится в центре согласованного и модернизированного ландшафта защиты ПДн, которые участвуют в общедоступном обороте. Бескомпромиссные правила защиты ПДн необходимы для гарантии фундаментального права на защиту личных данных, их структура должна быть дополнена регламентом электронной конфиденциальности, который в настоящее время находится в законодательном процессе.

Следует сказать о нововведениях в области защиты ПДн. Особый интерес представляет новый термин — персональные данные, разрешённые субъектом ПДн для распространения. К ним относятся такие ПДн, доступ неограниченного круга лиц, к которым предоставлен их субъектом (подп. 1.1 ст. 3 Закона 152-ФЗ). Такое разрешение выражается путём дачи согласия на обработку ПДн [3]. Ни для кого не секрет, что для получения той или иной услуги отбирается «согласие на обработку ПДн», при этом выбор о согласии либо не согласии на его подписание, как правило, не предоставляется. Теперь согласие должно оформляться отдельно от других согласий субъекта ПДн на обработку его ПДн. Оператор обязан обеспечить субъекту возможность определить перечень ПДн по каждой категории, указанной в таком согласии (ч.1 ст. 10.1 Закона № 152-ФЗ). Субъект также имеет право ограничить обработку ПДн оператором — например, если в согласии не было прямого разрешения на распространение ПДн, оператор имеет право их обрабатывать, но без распространения (ч.4 ст.10.1 Закона № 152-ФЗ). При этом молчание и бездействие субъекта ПДн не является согласием на обработку (ч.8 ст. 10.1 Закона № 152-ФЗ). Кроме того, субъект ПДн самостоятельно может устанавливать перечень тех ПДн, которые могут использоваться публично, а какие нет, при этом причины можно не указывать — оператор обязан удалить данные из общего доступа просто потому, что они относятся к определенному или определяемому лицу.

Еще одним примером внедрения цифровизации в нашу жизнь может послужить тот факт, что законодатель с апреля 2022 года предложил несовершеннолетним возможность регистрации на портале госуслуг, то есть без участия их законного представителя (опекуна, усыновителя). С указанной даты самостоятельная регистрация на Едином портале госуслуг стала доступна для лиц в возрасте от 14 лет — для этого им потребуется указать номер СНИЛС, паспортные данные, номер мобильного телефона и адрес электронной почты. Детей, не достигших возраста 14 лет, зарегистрировать на портале смогут их родители, имеющие учётную запись [7]. Отмечено, принятое решение упростит доступ школьников к цифровым ресурсам. Теперь они смогут пользоваться сервисами через личную учётную запись, например, чтобы зайти в свой электронный дневник и просмотреть оценки, узнать домашнее задание, получить информацию о поступлении в учебное заведение.

В Госдуме одобрили в первом чтении законопроект о разрешении прокуратуре доступа к ПДн россиян не только для целей прокурорского надзора, но и для выполнения других функций: для следственной работы; при направлении запросов в иностранные банки, чтобы проверить соблюдение отдельными гражданами запрета открывать в них счета. Глава думского комитета по безопасности и противодействию коррупции Василий Пискарев связал изменения с тем, что прокуратура получила больше возможностей по контролю за расходами госслужащих, их супругов и несовершеннолетних детей. Реализация инициативы даст властям возможность лучше понимать, что еще нужно изменить в законах для снижения количества тех или иных преступлений [8].

06.04.2022 в Госдуму внесли проект об изменениях в Закон № 152-ФЗ. Согласно новым правилам, на обработку биометрии несовершеннолетних введут ограничения. Кроме того, властям РФ разрешат вмешиваться в вопросы, связанные с обработкой данных россиян за рубежом. Операторов связи обяжут разъяснять клиентам юридические последствия отказа предоставления ПДн для обработки. Для предотвращения «утечек» операторов обяжут уведомлять уполномоченный орган о таких инцидентах и обеспечивать непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак, которые повлекли передачу данных. Также проект закона предполагает введение ограничения на обработку биометрических ПДн несовершеннолетних. Авторы изменений предлагают изменить закон о регистрации недвижимости, по которым персональную информацию физического лица в ЕГРН могут предоставить третьим лицам только при наличии в реестре записи о возможности предоставления данных. В случае одобрения изменений также нотариусы смогут по письменному заявлению заинтересованного лица запрашивать в ЕГРН информацию о ПДн правообладателя недвижимости. В законопроекте уточняется понятие «трансграничная передача», которое предполагает передачу данных оператором через государственную границу РФ органу власти, физическому или юридическому лицу иностранного государства. Также трансграничную передачу ПДн могут запретить или ограничить для защиты конституционного строя РФ, прав и интересов граждан. То есть, допускается вмешательство уполномоченных органов власти РФ в вопросы, связанные с обработкой данных россиян в других странах [9].

Проблематика электронного хранения ПДн

Правовая охрана ПДн обеспечивает реализацию конституционного права каждого на достоверную информацию в сфере использования ПДн. И следует отметить, что сложнее всего организовать защиту данных, которые хранятся в электронном виде. Как отмечено депутатами Госдумы Российской Федерации, действующая на момент внесения законопроекта на рассмотрение правовая конструкция позволяла третьим лицам осуществлять сбор и последующее неконтролируемое использование ПДн в целях, отличных от первоначальных, а равно с ориентиром на иные целевые аудитории, что нарушает принцип целеполагания (ст. 5 Закона № 152-ФЗ). В качестве примера можно привести интернет-сайты как: ВКонтакте, Одноклассники, Facebook, TikTok, MeWe, YouTube, Qzone, Мой Мир.

Мы можем наблюдать, как электронный документооборот, перевод документации в цифровой формат приобретает глобальный масштаб, прогрессирует, наращивает обороты во всех сферах и направлениях жизни человека. Безусловно, удобно и упрощает жизнь, к примеру, наличие возможности оформить заявку на получение тех или иных документов, записаться на приём к врачу через личный кабинет через сайт госуслуг, МФЦ. И если официальные сайты имеют определённый уровень защиты от утечек ПДн, то есть иные примеры, за простотой и доступностью которых скрывается угроза. Так, бездумное представление своих ПДн сторонним организациям, лицам, имеет под собой определенный риск, требующий незамедлительного применения соответствующих организационных и технических мер для их защиты от несанкционированного доступа и использования.

В качестве проблематики обозначенного вопроса, подтверждающего уязвимость ПДн, можно выделить решения, по которым предметом спора отмечены долги от двойника. Как показал Верховный суд РФ, десятки, если не сотни тысяч граждан, за последние годы испытали на себе всю тяжесть проблемы, когда кто-то с идентичными именем, фамилией и отчеством оказывается должником по коммунальным, алиментным платежам, кредитным обязательствам, штрафам ОГИБДД и пр., а платить приходится однофамильцу, при этом двойник-должник может проживать в другой стране [4,5,6].

Проблема в последние годы стала настолько острой, что её признали и сами судебные приставы, а позже и законодатель. Осенью 2021 года сервис Федеральной службы судебных приставов «Интернет-приемная» был дополнен новым видом обращений для граждан, которых «ошибочно идентифицировали как должников по исполнительным производствам». Оказалось, что для распознавания должника применялись только три признака: ФИО, дата и место рождения.

Пострадавшим от долгов двойников гражданам предложено заполнить форму электронного обращения в сервисе «Интернет-приемная», выбрав тему «Я двойник!". На сайте обещано, что обращение будет передано руководителю территориального органа ФССП «для организации рассмотрения». А если деньги с банковского счета или зарплаты несчастного уже списаны, сайт сообщал, что «судебный пристав примет меры к возврату денежных средств». Сложно говорить, что такая мера является эффективной и полезной, поскольку неизвестно, помогла ли она кому-либо. В Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» перечислено, по каким документам и данным надо идентифицировать должника, чтобы не было совпадения, но законы действуют тогда, когда разработаны к ним подзаконные акты, то есть документы, в которых расписан алгоритм действия всех, кого касается новый закон, а на разработку необходимых «инструкций по применению» уходит немалое время.

В странах мира защита ПДн находится на самых разных уровнях, к примеру: приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 14.09.2021 № 183 «О внесении изменений в перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных, утвержденным приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 15.03.2013 № 274" (зарегистрирован Министерством юстиции Российской Федерации 21.10.2021, регистрационный № 65514) исключены из Перечня такие иностранные государства как: Аргентинская Республика, Королевство Марокко, Республика Чили, Тунисская Республика и включены Народная Республика Бангладеш, Республика Беларусь, Республика Замбия, Республика Нигер, Республика Таджикистан, Республика Узбекистан, Республика Чад, Социалистическая Республика Вьетнам, Тоголезская Республика, Федеративная Республика Бразилия, Федеративная Республика Нигерия [10].

На площадке Российского совета по международным делам (РСМД) Евгений Роговский, к.э.н., руководитель Центра проблем военно-промышленной политики ИСК РАН еще в 2016 году написал: «Опережающее развитие ИКТ-технологий в США открыло дорогу для преступлений с помощью компьютеров, в результате киберпреступления вышли далеко за рамки пиратского использования чужой интеллектуальной собственности. Террористы все шире используют современные ИКТ-технологии (в т. ч. Интернет) как для организации своей деятельности, так и в качестве инструмента нападения. Кроме того, выявилась техническая отсталость правоохранительных органов по отношению к возможностям совершения преступлений» [11]. Так и на сегодняшний день неправомерное использование и незаконный оборот ПДн позволяет говорить о ненадлежащей их защите. Предполагается, что право на приватность ПДн должно сохранять свою главную особенность: оно должно быть защищено в интересах личности, а не являться инструментом гражданского оборота информации о личности.

Важно заметить, что в период цифровой эпохи имущественные риски — только одна из угроз, связанных с использованием информационных и телекоммуникационных технологий. Как отметил первый заместитель председателя Комиссии ОП РФ по развитию информационного сообщества, СМИ и массовых коммуникаций Александр Малькевич, комиссия ежегодно формирует доклад о главных цифровых угрозах для гражданского общества, и если в 2019 году таких угроз выделялось 12, то в 2020 — уже 18, а в 2021–21. Среди них, помимо кибермошенничества, в частности — распространение фейковых новостей, треш-контента, дипфейки, троллинг, кибербуллинг, излишнее доверие людей к неверифицированным источникам, несоблюдение социальными сетями законодательных требований, недостаточная цифровая грамотность.

Основным каналом получения мошенниками данных пользователей, в том числе телефонов и адресов электронной почты, необходимых для реализации схем телефонного мошенничества (к слову, по данным Роскомнадзора, количество мошеннических звонков гражданам России превысило в 2021 году 3,7 млн) и «доставки» ссылок на фишинговые сайты, остаются утечки/продажа баз данных пользователей. И в России, и в мире утекают в основном ПДн граждан: в 2021 году их доля в общем объеме утечек составила, по данным экспертно-аналитического центра InfoWatch 88,7 % и 82,3 % соответственно. Мировой антирекорд был зафиксирован в 2019 году: количество утекших записей ПДн составило 14,86 млрд (и это только по сведениям о выявленных утечках). Утекают данные, как подчеркнула Наталья Касперская, в основном через сотрудников операторов ПДн: банков, телеком-операторов, государственных структур. Решить эту проблему, по мнению эксперта, невозможно без изменения подхода к ответственности за незаконное использование ПДн [12].

«Утечка» личных данных граждан — золотое дно для всевозможных мошенников. По данным Роскомнадзора только за 2021 год выявлено 10 и более случаев, когда базы ПДн стали общедоступными и (или) когда их разместили в интернете. Речь шла о том, а были ли признаки незаконной обработки сведений об этих людях. Как следствие, приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 15.11.2021 N 1187 был утвержден Перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой ПДн. По вступлению его в законную силу 25.01.2022 при проявлении хотя бы 1 индикатора из данного Перечня, организуют внеплановое контрольно-надзорное мероприятие при взаимодействии с компанией или ИП [13].

Глава комитета Госдумы по информационной политике, информационным технологиям и связи Александр Хинштейн сообщал о подготовке законопроекта, предполагающего ужесточение требований к операторам по обработке ПДн, передает РАПСИ. По его словам, скандал с глобальной утечкой в феврале 2022 года базы «Яндекс.Еды» показал незащищенность данных россиян [14]. С целью защиты ПДн увеличены вдвое санкции в виде штрафов за нарушение законодательства о ПДн (ст. 13.11 КоАП РФ), упразднён такой вид санкции как предупреждение, кроме того, установлены санкции за повторное нарушение [16].

В статье обозначена лишь малая часть угроз, с которыми можно столкнуться при использовании гаджетов, зайдя во всемирную паутину — Интернет, с целью получения тех или иных услуг. В целях несанкционированного доступа и распространения ПДн, обеспечения надлежащего уровня защищенности личности, частной жизни в цифровом пространстве следует осваивать азы цифровой грамотности, быть внимательными к информации, получаемой по рассылкам и к сайтам, которые посещаются. И возможно, это даст шанс сберечь ПДн, обеспечив неплохую защиту как минимум от самых распространенных видов мошенничества.

Открытый режим общедоступных данных часто имеет приоритет перед защитой ПДн. Достаточное количество вопросов, связанных с режимом защиты биометрических ПДн, остаются неисследованными.

Хотелось бы отметить, что на сегодняшний день цифровизация имеет достаточно высокий уровень и идёт на несколько шагов впереди нормативно-правовой базы, регулирующей вопрос оборота и защиты ПДн. Для поддержания информационной безопасности, границ личной свободы, универсальности прав человека требуется совершенствование всех рычагов, отвечающих за защиту ПДн, во всех сферах жизни человека и общества в целом. Стихийное формирование сложившегося законодательства в области защиты ПДн, биометрической аутентификации и идентификации, цифрового профиля гражданина, модели единого цифрового государственного управления требует концептуального подхода, учитывающего назревшую необходимость переформатирования механизма обеспечительных мер защиты со стороны государства.

Предложения по защите персональных данных

Надёжное шифрование ПДн перестало быть роскошью, оно стало необходимостью. На законодательном уровне целесообразным будет рассмотреть вопрос о создании государственной системы защиты такой информации, как ПДн. Для повышения устойчивости и безопасности функционирования информационной и цифровой инфраструктуры необходимо, также на постоянной основе совершенствовать механизмы обеспечения информационной безопасности отраслевых критически важных объектов; усиливать защищенность информационных систем и сетей связи; создать современную электронную компонентную базу, разработать и внедрить свое технологическое оборудование, в том числе необходимое для производства программно-аппаратных комплексов, направленных на защиту ПДн [15,17].

Кроме того, в качестве предложения, способного защитить ПДн, следует обратить внимание законодателя на меры административной ответственности должностных и юридических лиц за нарушение порядка применения информационных технологий в целях идентификации физических лиц. Следует обратить внимание на такие административные правонарушения как нарушение порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в единой биометрической системе, в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию.

Разрабатывать новые подходы к защите ПДн, к примеру, рассмотрение дела об административном правонарушении за нарушение порядка применения информационных технологий в целях идентификации и (или) аутентификации физических лиц возложить на Роскомнадзор, а в случае совершения указанного правонарушения организациями финансового рынка, рассмотрение таких дел возложить на Банк России.

Руководителям подразделений информационной безопасности, надзорным органам в сфере ПДн на постоянной основе проводить мониторинг информационной безопасности, безопасности информационных систем и эффективного противодействия киберпреступности с целью снижения риска неправомерного доступа к ПДн.

Заключение

Исходя из вышеописанного, можно смело заявить о том, что вопрос защиты ПДн одним из острых на протяжении длительного времени и пути его решения рассматриваются на самом высоком уровне, как в России, так и на международной арене. К сожалению, законодательство может отставать от актуальных угроз в области стремительно развивающихся цифровых технологий, поэтому гражданам, как самым заинтересованным в безопасном сохранении своих данных требуется соблюдать элементарную цифровую гигиену: не выкладывать сканы документов в Интернет, не вводить избыточную информацию на сайтах и сервисах, внимательно изучать лицензионные соглашения и пр. Эти несложные манипуляции помогут минимизировать вероятность «утечек» и некорректного использования ПДн.

Литература:

1. Цифровое право: учебник / под общ. ред. В. В. Блажеева, М. А. Егоровой. — Москва: Проспект, 2020. — 640 с. ISBN 978–5–392–22729–7 DOI 10.31085/9785392227297–2020–640// [Электронный ресурс]//https://dokumen.pub/9785392227297.html
2. Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 30.12.2020) «О персональных данных» [Электронный ресурс]//https://docs.cntd.ru/document/901990046//
3. Федеральный закон от 30.12.2020 N 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных»// [Электронный ресурс]// http://www.consultant.ru/document/cons_doc_law_372682/3d0cac60971a511280cbba229d9b6329c07731f7/
4. Кассационное определение Верховного Суда РФ от 11.05.2022 № 41-КАД22–2-К4// [Электронный ресурс]//https://legalacts.ru/sud/kassatsionnoe-opredelenie-sudebnoi-kollegii-po-administrativnym-delam-verkhovnogo-suda-rossiiskoi-federatsii-ot-11052022-n-41-kad22–2-k4/?ysclid=l47izvp83v388042472//
5. Российская газета — Федеральный выпуск № 120(8768) «Верховный суд показал гражданам, как избавиться от чужих долгов» // [Электронный ресурс]// https://rg.ru/2022/06/05/kapkan-dlia-dvojnika.html?msn//
6. Газета «Известия» от 28.02.2021, рубрика «Общество»// [Электронный ресурс]//https://iz.ru/1130061/sergei-gurianov/ataka-klonov-kak-izbavitsia-ot-dolgov-dvoinika//
7. Постановление Правительства РФ от 04.02.2022 № 111 «О внесении изменений в некоторые акты правительства Российской Федерации в части использования федеральной государственной информационной системы «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» несовершеннолетними» //https://www.garant.ru/hotlaw/federal/1526482// [Электронный ресурс]//
8. Российская газета — Федеральный выпуск от 04.03.2022 Рубрика: Власть. [Электронный ресурс]//https://rg.ru/2022/03/04/prokuroram-rasshiriat-dostup-k-personalnym-dannym.html//
9. Информационное агентство URA.RU// [Электронный ресурс]//https://m.ura.news/news/1052543124//
10. Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 15 марта 2013 г. N 274 «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных» (с изменениями и дополнениями)// [Электронный ресурс]//https://base.garant.ru/70368490//
11. Российский совет по международным делам (РСМД)// [Электронный ресурс]//https://russiancouncil.ru/blogs/riacexperts/2418//
12. Аналитическая статья «Цифровая безопасность личности: что изменилось за последний год» от 17.02.2022// [Электронный ресурс]//https://www.garant.ru/article/1528258//
13. Минцифры определило индикаторы нарушений при обработке персональных данных // [Электронный ресурс]//https://www.4dk.ru/news/d/daily-20220117172400-mintsifry-opredelilo-indikatory-narusheniy-pri-obrabotke-personalnykh-dannykh//
14. Информационная безопасность*Социальные сети и сообщества IT-компании// [Электронный ресурс]//https://habr.com/ru/news/t/668714//
15. Постановление Правительства РФ от 14.05.2022 N 875«О внесении изменений в некоторые акты Правительства Российской Федерации»// [Электронный ресурс] // https://login.consultant.ru/?returnUrl=req %3Ddoc %26base %3DLAW %26n %3D417010&cameFromForkPage=1//
16. Кодекс об административных правонарушениях Российской Федерации // [Электронный ресурс] //https://base.garant.ru/12125267/b369434ee740927935cc6f0a04242543//
17. Совет Безопасности Российской Федерации «О повышении устойчивости и безопасности функционирования информационной инфраструктуры государства»// [Электронный ресурс]//http://www.scrf.gov.ru/council/session/3241//