Этот текст представляет собой записку, которую я на прошлой неделе направлял разным организациям и людям, имеющим отношение к правам человека и развитию ИТ в нашей стране. В ней рассматриваются политические, правовые и технические риски законопроекта ПФЗ № 759897-7 «О едином федеральном информационном регистре, содержащем сведения о населении Российской Федерации…» (далее – Законопроект или ЕФИР).
Сейчас законопроект прошёл два чтения, с третьего чтения его вернули обратно в Госдуму; третье чтение планируется 21-го мая, в четверг. Скорее всего, законопроект будет принят.
В законопроекте декларируется создание ЕФИР – единого федерального регистра, содержащего сведения о гражданах в единой базе данных, управлять которой будет Федеральная Налоговая Служба. Создаваться ЕФИР должен постепенно, вступить в строй полностью – примерно к 2024-2025 году.
Изучение текста законопроекта приводит к заключению, что в текущем виде он создаёт серьёзные риски для прав граждан России, нарушает существующие федеральные законы. Подробнее – ниже.
Общие соображения
- Значение законопроекта. Этот законопроект – не проходной, не технический, его значение – огромное. Он вторгается в частную жизнь, создаёт множество рисков (о которых ниже). Это очень важный законопроект, по существу – конституционного уровня.
- Частная жизнь и Конституция. Законопроект вторгается в очень интимную сферу частной жизни граждан, определяемую Конституцией РФ, нарушая (или переопределяя) положения Главы 2 Конституции РФ и несколько федеральных законов. Об этом – ниже в разделах 3 и 4.
- Новый вид власти – цифровой. С созданием ЕФИР, с размещением на улицах наших городов и на дорогах областей сотен тысяч камер высокого разрешения с распознаванием лиц у операторов баз персональных данных возникает новый вид власти – цифровой власти над данными граждан. Надо понимать, что в случае принятия законопроекта о Едином Регистре:
- эту власть получают некие неустановленные и неизвестные населению гражданские лица,
- граждане РФ не делегировали им эту власть над собой,
- есть обоснованные опасения, что на этом процесс не остановится, в базу постепенно будут добавлены и биометрия, и переписка, и география перемещений, и медицинские данные (каковое пополнение Регистра внешними ведомствами предусмотрено в законопроекте – см. ниже). Можно предполагать, что в итоге может возникнуть и социальный рейтинг по китайскому образцу, и разные виды дискриминации граждан на основе персональных данных.
- Правовые риски. Граждан в законопроекте просто забыли, в том числе – несовершеннолетних. Гражданин не получает возможности хоть как-то повлиять на процесс сбора, хранения и использования персональных данных о себе, является по сути объектом, а не субъектом. Законопроект прямо упраздняет 152-ФЗ о персональных данных, создаёт правовой нигилизм в отношении частной жизни и персональных данных граждан. Об этом ниже в правовом разделе 4.
- Проект несёт очевидные технические риски. Сбор данных в одном месте, кроме удобства для оператора (ФНС), несёт риски утечек, компрометации данных и использования служебного положения. О этом ниже в разделе «Технические риски».
- Процедура проведения законопроекта – неправильная. Его «протаскивают» поспешно, «под шумок», без общественных слушаний. Для проекта такой значимости это недопустимо.
- Обоснование законопроекта очень слабое. Фактически, сторонник и «двигатели» законопроекта в Пояснительной записке и в публичных выступлениях говорят только «ну это же будет очень круто – знать всё про всех!», «иметь наиболее достоверные и полные данные о всех!», «больше собирать налогов!». Нет аргументов, почему не годится текущее положение, когда ведомства обмениваются данными, держа частичные персональные данные граждан в своих ведомственных базах. Эта невнятица и привязка к фискальным задачам ФНС влечёт большие политические риски для власти. Об этом ниже – в разделе 2 о политических рисках.
2. Политические риски
- Публичные обоснования законопроекта – негодные. Обоснования в Пояснительной записке и в прессе сводятся к облегчению сбора денег с населения, а также к тому, что «иметь полные и достоверных данные обо всех гражданах – очень хорошо». Это легко увидеть, посмотрев тексты.
В пояснительной записке в качестве основания для создания нового закона даётся ссылка на Указ Президента РФ от 2016 об усилении платёжной дисциплины. То есть по сути, прямо сказано, что закон нужен для собирания большего количества денег с населения. В глазах населения это будет выглядеть издевательством, особенно в текущей ситуации. Упоминаемые в Пояснительной записке «борьба с мошенниками» или «помощь неимущим» очень плохо сочетаются с целями повышения собираемости налогов и с управлением ФНС. Сбор данных Налоговой службой делается в целях помощи немущим? В восприятии населения ФНС занимается не раздачей денег, а сбором, получается двойная насмешка. - Официальная публичная риторика в поддержку законопроекта – негодная. Высказывание замначальника ФНС, что "такое сосредоточение всех данных поможет оценить совокупные доходы домохозяйств, число нуждающихся семей в стране. Это стало особенно актуально в условиях распространения коронавирусной инфекции, когда необходимо оказывать адресную помощь именно тем, чьи доходы упали из-за кризиса", опять же, звучит просто насмешкой, издевательством (ведь в самом законопроекте написано, что закон в принципе планируется ввести в действие до 23-го года, когда про коронавирусную инфекцию все забудут. Это просто неуклюжая попытка обмана).
По сути, никаких разумных объяснений того, зачем нужен новый закон, гражданам не предлагается.
- Процедура проведения законопроекта – негодная. Текущая процедура продвижения законопроекта вызывает очень много нареканий. Это делается быстро, кулуарно, без обсуждения в прессе, под шум о коронавирусе, без широкого общественного обсуждения. Это несёт в том числе большие политические риски для власти в РФ.
Почему не проведены общественные слушания? - Присвоение номерного идентификатора человеку вступает в противоречие с позицией РПЦ. Законопроект игнорирует позицию РПЦ, принятую Архиерейским Собором РПЦ 04.02.2013:
«Церковь считает недопустимыми любые формы принуждения граждан к использованию электронных идентификаторов, автоматизированных средств сбора, обработки и учёта персональных данных и личной конфиденциальной информации».
Можно ожидать дальнейшего возрастания недовольства как верующих, так и религиозных организаций.
- Вывод: принятие законопроекта будет медийным аналогом пенсионной реформы. С точки зрения медийного и политического воздействия на умы граждан РФ создаётся ещё один сильный повод для разжигания ненависти к власти и чиновникам, к дальнейшему «расторжению общественного договора» между властью и народом.
Возможно, властные политтехнологи сейчас обещают инициаторам законопроекта, что «мы всё заровняем, всё будет тихо», как они обещали при продвижении Пенсионной реформы. Это неправда: Пенсионная реформа ещё свежа в памяти, нанесла мощный удар по лояльности граждан. Сейчас гражданам будет дан ещё один серьёзный повод для недоверия и ненависти к власти.
- Публичные обоснования законопроекта – негодные. Обоснования в Пояснительной записке и в прессе сводятся к облегчению сбора денег с населения, а также к тому, что «иметь полные и достоверных данные обо всех гражданах – очень хорошо». Это легко увидеть, посмотрев тексты.
- Юридические риски и противоречия
- В законопроекте имеются явные нарушения Конституции РФ:
- По ч. 1 ст. 24 Конституции «Сбор, хранение, использование … информации о частной жизни лица без его согласия не допускаются». Если сейчас управление персональными данными принадлежит субъекту данных, за некоторыми обоснованными исключениями, то Законопроект легализует сбор и обработку эти данных в постоянном режиме без согласия граждан (ст.8 Законопроекта). Персональные данные представляют собой информацию, которая относится к «частной жизни» гражданина и представляет собой объект конституционно-правовой защиты согласно статьям 23, 24 Конституции РФ (См. Определения Конституционного суда от 29.09.2011 № 1063-О-О, от 29.01.2009 № 3-О-О; Комментарий к Конституции Российской Федерации (постатейный), 2-е изд., под ред. В.Д. Зорькина; Миндрова Е.А. «Коллизия права граждан на доступ к информации и права на неприкосновенность частной жизни в условиях информационного общества: автореферат дисс. к.ю.н. М., 2007г.; Проскурякова М.И. «Конституционно-правовые рамки защиты персональных данных в России» // Вестник СПбГУ. 2016. Вып.2. С. 12-26.)
- Человеку присваивается пожизненный номер. Согласно Законопроекту все сведения об одном физическом лице, включаемые в Регистр, образуют одну запись, которая идентифицируется уникальным несменяемым номером. Таким образом, уникальный номер будет идентифицировать именно конкретного человека. Присвоение номерного идентификатора человеку можно расценивать, как умаление достоинства личности (нарушение ч. 1 ст. 21 Конституции РФ) (кстати говоря, это запрещено ещё Нюрнбергским трибуналом) ( На Нюрнбергском процессе, проходившем с 20 ноября 1945 по 1 октября 1946 года, Международный военный трибунал в числе прочих преступлений фашизма признал практику присвоения людям пожизненных обезличивающих номеров и клеймения этими номерами преступлением против человечности, не имеющим срока давности).(Присвоение номера запрещено вместо имени, не вместе. Иначе и СНИЛС был бы под запретом — Roem.ru.
- Нарушение 152 ФЗ от 27.07.2006 «О персональных данных»:
- Сбор разнородной информации в одном информационном ресурсе – это нарушение принципа работы с персональными данными, установленного статьей 5 ФЗ №152 «О персональных данных», по которому «Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой». Таким образом 152-ФЗ обеспечивает конституционное право граждан на неприкосновенность частной жизни.Однако новый законопроект игнорирует этот принцип. Например, данные о постановке на учет в качестве безработного, обрабатываемые в службе занятости, и данные о регистрации брака, обрабатываемые органами регистрации актов гражданского состояния, имеют разные цели обработки, а следовательно, не должны объединяться.
- Управление персональными данными. Раздел 8 ст. 11 нового законопроекта устанавливает, что персональные данные граждан подлежат постоянному хранению, их изъятие, в том числе, по требованию гражданина, не предусмотрено. Согласно ст. 14.1 действующего закона 152-ФЗ гражданин вправе требовать от оператора ПД уточнения его персональных данных, их блокирования или уничтожения. Это прямое противоречие нового законопроекта существующему закону «О персональных данных».
- Новый закон хотят сделать «суперзаконом о персональных данных». Принятие следующей формулировки в законопроекте фактически упразднит влияние 152-ФЗ на жизнь граждан, как и соответствующие статьи Конституции о тайне частной жизни:Вот что сказано в Статье 11 нового законопроекта:
«11. Внесение изменений в состав и способы предоставления сведений, содержащихся в федеральном регистре сведений о населении, и изменение перечня органов, организаций и лиц, которым предоставляются указанные сведения, могут осуществляться только посредством внесения изменений в настоящий Федеральный закон».
Я, мои коллеги и друзья, считаем, что это абсолютно недопустимо, тем более в такой спешке и без общественного обсуждения.
- Нарушение Закона о Критической информационной инфраструктуре. Регистр явно является критической информационной инфраструктурой (КИИ), причём скорее всего, 1 категории. Это значит, что по Закону о КИИ (187-ФЗ) Регистр должен пройти категорирование. Об этом ничего в самом законопроекте нет.
Кроме того, ФНС не указана среди тех ведомств, которым разрешается быть оператором критической инфраструктуры по Закону о КИИ. - Супероператор БД: почему ФНС? В законе прописан оператор Регистра – ФНС. Он же имеет право пользоваться всеми собранными данными. Доступ к данным реестра планируется дать слишком широко. В записи с личными данными граждан не вносятся данные о том, кто и зачем запрашивал данные из Регистра (даже если речь идёт не о силовиках). По сути слив данных может быть осуществлён любым коррумпированным сотрудником МФЦ.В аппаратном смысле после создания Регистра все ведомства – источники персональных данных для него – потеряют самостоятельное значение, и будут лишь выполнять сервисные функции в интересах оператора самой главной базы данных – ФНС, что сделает ФНС суперведомством, близким по значению к силовым структурам, а за счёт всеохватности накопленных сведений – даже превосходящим их.
При этом в отличие от ФСБ, ФСО, МВД, где с данными работают офицеры, дававшие присягу, ограниченные регламентами, формами секретности, ведомство ФНС – гражданское, что создаёт естественные риски более низкой ответственности и секретности.
- Гостайна. Представляется логичным, что Единый регистр граждан должен защищаться на уровне защиты государственной тайны, поскольку данные о всех гражданах страны являются значительной государственной ценностью. Кроме того, организация системы защиты на уровне гостайны позволит резко поднять уровень защищенности системы от внутреннего и внешнего нарушителя. Правда, в этом случае оператором системы должно быть назначено ведомство, обязанное работать в режиме государственной тайны, а не ФНС.
Угрозы правам личности
- Данные собираются принудительно, безакцептно. Данные в ЕФИР собираются в безусловном порядке, гражданин РФ не может повлиять на процесс сбора персональных данных о нём.
- Хранение и передача персональных данных в другие ведомства/организации находится вне контроля граждан. Граждане не могут влиять на сбор, наличие и передачу данных в ЕФИР и из него. Круг потенциальных получателей данных из Регистра – очень широк:
Сведения из Регистра могут быть представлены (стр. 29, ст. 11): органам госвласти, МФЦ, избирательным комиссиям, нотариусам, физлицам (в их собственном отношении), по запросам судов, прокуратуры, дознания и следствия, полиции-фсб и прочих, ФССП, ФНС. Порядок предоставления определяется правительством.
Хотя в законопроекте предусмотрена возможность для гражданина получить данные о себе из ЕФИР (и даже, возможно, скорректировать «неверные данные»), но не предусмотрена возможность запретить их использование и передачу вовне по внутренним решениям оператора Регистра, а также удалить данные о себе.
Невозможность удалить или изменить информацию о себе прямо нарушает права и свободы граждан Российской Федерации и закон 152-ФЗ, как уже сказано выше.
- Нарушаются права и подвергаются риску жизнь и здоровье несовершеннолетних. Очевидно, ЕФИР предполагается использовать для сбора, получения и хранения персональных данных о всех гражданах РФ, то есть, в том числе, о детях и несовершеннолетних, «по факту», без получения особого разрешения на это от их родителей или опекунов. Это грубое нарушение базовых прав несовершеннолетних. Согласно текущей версии законопроекта, родитель сможет узнать, какие данные о его детях хранятся в ЕФИР, но не сможет удалить их или скрыть по своему усмотрению от посторонних глаз.Это создаёт серьёзные риски для детей и родителей:
Автор записки лично в своей семье сталкивался с похищениями детей и имеет острую аллергию к хранению и публикации данных о детях. Закрытость информации о детях – важный вопрос для всех. Угрозы детям и семье – типовой метод криминала. Хотим ли мы дать дополнительные информационные инструменты преступникам?
Нам кажется, что большинство россиян не захотят иметь где-то не зависящую от них базу данных, в которой довольно многие из управленцев и обслуживающего персонала (чиновники, ИТ-клерки, системные администраторы и программисты) смогут посмотреть, кто их дети, как они выглядят, где живут и где учатся (а значит, бывают каждый день).
А ведь в этой единой базе Регистра всё будет ещё более подробно: можно будет посмотреть, кто родители, кто жена, кто сестра, кто её родители, кто её дети и т.п.
5. Технические угрозы
- Риски единого места хранения. Очевидно, что создание единой базы граждан будет вызывать повышенный интерес любых злоумышленников, поскольку каждая запись данной базы и их общая совокупность содержат больше информации, чем любая узкоспециализированная база в ведомстве или регионе, что кардинально снижает стоимость и сложность несанкционированного доступа к этим данным граждан.
На сегодняшний момент не существует технической возможности на 100% гарантировать безопасность какой-либо информационной системы, ни один специалист по информационной безопасности никогда не даст полной гарантии защищённости ИС.Получается, что в одном месте создаётся база, которая гарантированно будет уязвима и будет иметь утечки время от времени, но при этом будет содержать крайне важные персональные данные граждан РФ. Что, безусловно, сделает её предметом вожделения многочисленных внешних хакеров, а также инсайдеров, коррупционеров и т.п., так как вместо сложного и дорогого тайного сбора данных о гражданине из разных ведомственных и региональных БД теперь можно будет на порядки дешевле получить эту единую запись из ЕФИР. - Утечки. Вторым аспектом этого вопроса являются возможные утечки данных изнутри. Известно, что большинство утечек совершается именно при помощи внутренних злоумышленников (инсайдеров)
Даже если не рассматривать угрозу взлома базы Регистра со стороны внешних атакующих, не очень понятно, как защита Единого Регистра будет осуществляться сотрудниками гражданского ведомства ФНС.В ст. 9, раздел 5, п. 3) законопроекта сказано, что оператор осуществляет защиту сведений, содержащихся в федеральном регистре, в соответствии с требованиями законодательства РФ. Однако число утечек из БД государственных органов составляет миллионы записей в год и постоянно растёт год от года.Все государственные информационные системы, скомпрометированные этими массовыми утечками в 2019 году, были созданы в соответствии с требованиями законодательства, что не защитило их от взломов и хищений информации. Каким образом база Регистра будет гарантированно защищена от злоупотреблений и краж со стороны внутренних нарушителей – непонятно.
Планируемый оператор Регистра также «отметился» на поле утечек. В 2019 году произошла скандальная утечка налоговых данных граждан РФ. В сентябре 2019 ФНС утечку из её баз опровергла («мы исключаем возможность утечки»), не приведя, однако, никаких доказательств этого. Многие специалисты по информационной безопасности считают эту утечку именно утечкой ФНС. Этот случай не подвергался подробному разбору, виновные не были найдены и наказаны. Наверное, было бы логично сначала публично разобраться с прошлогодней утечкой данных и способностью ФНС защитить данные граждан.
- Использование зарубежного ПО и техники. В законопроекте довольно неясно упоминаются требования к программному и аппаратному обеспечению Регистра – сказано лишь, что эти средства должны быть «сертифицированы». К сожалению, у нас в стране процедура сертификации довольно формальна, в результате в госорганах используется много сертифицированных средств западных производителей, вызывающих сомнения в отношении информационной безопасности.Существующая процедура сертификации не защищает на 100% от программных и аппаратных закладок производителя и/или спецслужб страны производителя.
Кроме того, сложившаяся в нашей стране практика использования сертифицированных программных и аппаратных средств в госорганах и госкорпорациях не защищает от применения запрещённого облачного хранения данных и передачи данных за пределы РФ.
В результате даже сертифицированное ФСТЭК зарубежное программное средство на практике всё равно скачивает обновления, которые уже никем не сертифицируются, не говоря уже о возможных чрезвычайно сложных для обнаружения гибридных программно-аппаратных закладках и т.п. Здесь просматривается риск построения системы критической инфраструктуры, к которой будет возможен скрытый доступ иностранных производителей и спецслужб.
На наш взгляд, такой Регистр должен строиться и работать исключительно на отечественных средствах.
- Риски единого места хранения. Очевидно, что создание единой базы граждан будет вызывать повышенный интерес любых злоумышленников, поскольку каждая запись данной базы и их общая совокупность содержат больше информации, чем любая узкоспециализированная база в ведомстве или регионе, что кардинально снижает стоимость и сложность несанкционированного доступа к этим данным граждан.
6. Как стоило бы сделать
- Снять политические риски. Назначить общественные слушания по проекту, сделать процесс внесения и корректирования законопроекта максимально открытым. Дать убедительные обоснования необходимости создания ЕФИР.
- Сделать данные ЕФИР гостайной. Со всеми ограничениями, регламентами и ответственностью за хранение гостайны для всех причастных к Регистру.
- Признать Регистр объектом критической инфраструктуры. Проверить соответствие его статуса закону о КИИ.
- Назначить релевантного оператора. Передавать контроль спецслужбам, а не гражданскому ведомству, озабоченному собираемостью налогов.
- Обеспечить 100% импортозамещение в ЕФИР. Предписать использование для создания и ведения ЕФИР исключительно отечественных программных и аппаратных средств. Для этого есть ещё 5 лет.
- Запретить дальнейшее расширение спектра информации, собираемой и хранимой в ЕФИР. Запретить в законопроекте добавление в ЕФИР в запись о гражданине его биометрии, фото, видео, геоинформации, переписки и других коммуникаций, медицинской информации.
- Обеспечить прозрачность работы и данных Регистра для граждан. Обеспечить возможность гражданам знать, какие данные о них собраны.Дать возможность управления данными в ЕФИР со стороны граждан РФ: возможность узнать, куда и кому передаются их персональные данные, предусмотреть процедуру запрета на передачу тем или иным партнёрам и контрагентам ЕФИР, возможность исправления или удаления всех или некоторых категорий данных в Регистре.
- Защитить права несовершеннолетних в ЕФИР. Обеспечить в ЕФИР возможность скрытия/обезличивания данных о несовершеннолетних. Дать родителям/опекунам права на управление этими данными.
- Запретить дискриминацию на основе ЕФИР. Прямо запретить правовую, кадровую, медицинскую, финансовую дискриминацию граждан на основе данных, вообще запретить передачу данных вовне из Регистра третьим сторонам для этих целей.
- Запретить публичное и коммерческое использование данных ЕФИР. Категорически запретить продажу или передачу данных ЕФИР о гражданах коммерческим структурам, для использования в коммерческих структурах, бизнесе, страховых и кредитных учреждениях, кадровым службам и т.п.
Вывод: законопроект нужно вернуть на доработку; в него следует внести довольно много исправлений, обеспечивающих снятие юридических противоречий, защиту прав граждан и снижение политических правовых и технических рисков, описанных выше.
Есть, кстати, отличный правовой разбор законопроекта про ЕФИР на Регнуме:
https://regnum.ru/news/polit/2954887.html