Может причинить ущерб национальным интересам

Аналитика

Заключение доктора юридических наук Игоря Понкина на проект ФЗ № 759897-7 «О едином федеральном информационном регистре, содержащем сведения о населении РФ»

Настоящее заключение выполнено по обращению председателя Комитета Государственной Думы по развитию гражданского общества, вопросам общественных и религиозных объединений С.А. Гаврилова.

В настоящем заключении изложены результаты исследования содержания и направленности проекта федерального закона № 759897-7 «О едином федеральном информационном регистре, содержащем сведения о населении Российской Федерации». Указанный законопроект был внесён в Государственную Думу ФС РФ Правительством Российской Федерации (далее также – законопроект), принят Государственной Думой 17 апреля 2020 года во втором чтении, 12 мая 2020 года возвращён к рассмотрению во втором чтении и с рядом новых поправок был рассмотрен и вновь принят во втором чтении, представлен к третьему чтению (ответственный комитет – Комитет Государственной Думы по информационной политике, информационным технологиям и связи).

Анализ проекта федерального закона «О едином федеральном информационном регистре, содержащем сведения о населении Российской Федерации» даёт необходимые и достаточные основания для выводов о том, что этот законопроект содержит ряд существенных недостатков и в случае его принятия будут созданы условия и предпосылки для причинения серьёзного ущерба национальным интересам Российской Федерации и ущерба конституционным правам и свободам граждан Российской Федерации, поскольку этот законопроект, в числе прочего, создаёт предпосылки для утечек персональных данных (случаев несанкционированного доступа к таковым) и использования содержащейся в создаваемом по этому законопроекту регистре информации в противоправных целях, в том числе угрожающих безопасности личности, общества и государства.

Далее эти выводы более развёрнуто изложены и обоснованы.

Дефекты целевого назначения законопроекта и заложенной в нём идеи. Законопроект позиционируется как направленный не столько на сбор новых персональных данных, сколько на системное агрегирование и без него уже существующих многочисленных и разнообразных баз персональных данных, которые ведутся и обслуживаются целым рядом органов государственной власти и уполномоченных государственных организаций (создаётся объединённая база персональных данных посредством дублирующего объединения целого ряда других – ведомственных – баз персональных данных без ликвидации самих таких баз).

В условиях установленных и гарантированных Конституцией Российской Федерации запрета сбора, хранения, использования и распространения информации о частной жизни лица без его согласия (часть 1 статьи 24), гарантий права каждого на неприкосновенность частной жизни, личную и семейную тайну (часть 1 статьи 23), права каждого на личную неприкосновенность (часть 1 статьи 22), права каждого на охрану государством достоинства личности (часть 1 статьи 21), а также гарантий обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе гарантий защиты прав на неприкосновенность частной жизни, личную и семейную тайну, установленных статьёй 2 и др. Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 31.12.2017) «О персональных данных», исследуемый законопроект должен содержать прямые, детализированные указания его целей в привязке к предмету регулирования, прежде всего – цели создания «единого федерального информационного регистра» (с таким массированным наполнением, как предусмотрено законопроектом).

Определяющие целевую нагрузку исследуемого законопроекта часть 1 статьи 4: «Целью формирования и ведения федерального регистра сведений о населении является создание системы учёта сведений о населении Российской Федерации, обеспечивающей их актуальность и достоверность», и статья 1: «Настоящий Федеральный закон устанавливает организационно-правовые основы формирования и ведения единого федерального информационного регистра, содержащего сведения о населении Российской Федерации (далее – федеральный регистр сведений о населении), в том числе сбора, обработки, хранения, получения, использования и защиты указанных сведений, а также обеспечения актуальности и достоверности иных содержащих сведения о населении Российской Федерации государственных информационных ресурсов и муниципальных информационных ресурсов», по существу, сводят такую нагрузку к собственно созданию такого регистра, а равно его наполнению, актуализации и ведению, «учёту сведений» (то есть регистр ради регистра). Часть 2 статьи 4 законопроекта, определяющая цели использования содержащихся в регистре сведений, и часть 3 статьи 9, определяющая назначение государственной информационной системы, – так же мало что добавляют по существу и являются достаточно размытыми по содержанию.

Согласно пояснительной записке к законопроекту, «создание федерального ресурса о населении позволит: повысить оперативность и качество принимаемых решений в сфере государственного и муниципального управления; обеспечить достоверность и актуальность информации о населении; сократить сроки оказания государственных и муниципальных услуг и исполнения государственных и муниципальных функций; обеспечить переход на качественно новый уровень расчёта и начисления налогов на доходы физических лиц; повысить эффективность реализации государственной политики, решения вопросов социально-экономического развития, составления и реализации государственных и муниципальных программ, бюджетов бюджетной системы Российской Федерации; обеспечить повышение эффективности борьбы с правонарушениями, сокращение числа мошеннических действий при получении мер социальной поддержки и уплаты налогов, сборов и других обязательных платежей, повышение собираемости платежей в бюджеты бюджетной системы Российской Федерации». Это описание назначения регистра не корреспондирует объёму сведений, подлежащих, согласно законопроекту, включению в регистр и не согласуется с вышеуказанными его нормами, выглядит большой натяжкой и голословным.

Оставление в проекте федерального закона «О едином федеральном информационном регистре, содержащем сведения о населении Российской Федерации» столь существенно (юридически и фактически) важного вопроса без учёта, его умолчание недопустимо, поскольку, в первую очередь, именно на это завязан вывод о соответствии или же противоречии этого законопроекта Конституции Российской Федерации.

Очевидная коммерчески-мотивированная «необходимость» такого рода регистров и легализующих их актов для разработчиков и дистрибьюторов компьютерно-программных оболочек (моделей), равно как латентно-аффилированных с ними лоббистов их интересов в органах власти (извлечение коммерческих сверхприбылей за счёт навязанных государству и обществу продуктов (в действительности, избыточных и сомнительных), оплачиваемых из государственного бюджета)– не может превалировать над публичными интересами в этой сфере.

Согласно части 1 статьи 8 законопроекта, «федеральный регистр сведений о населении формируется и ведётся федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору за соблюдением законодательства о налогах и сборах», но предусмотренный законопроектом объём сведений регистра явно выходит за пределы сферы компетенции и круга законных интересов названного органа исполнительной власти, не оправдывается его функциями.

С одной стороны, в этой части законопроект в принципе вызывает обоснованные сомнения (в России нет на сегодня органа государственной власти, сфере компетенции которого в полной мере корреспондировал бы предусматриваемый законопроектом объём сведений формируемого регистра, что оправдывало бы создание объединённой базы персональных данных), а с другой стороны – создаёт предпосылки для последующего неограниченного расширения такой создаваемой объединённой базы персональных данных.

На закладываемую в законопроекте парадигму дальнейшего расширения числа и объёма позиций сбора персональных данных в регистре косвенно указывает часть 15 статьи 8 законопроекта: «Федеральным органом исполнительной власти в области обеспечения безопасности, органами внешней разведки Российской Федерации, органами государственной охраны и иными органами, уполномоченными на решение задач в области обеспечения безопасности Российской Федерации, федеральным органом исполнительной власти в сфере внутренних дел в рамках реализации полномочий указанных органов, установленных законодательством Российской Федерации, и в порядке, определяемом Правительством Российской Федерации, в федеральный регистр сведений о населении могут вноситься предусмотренные частью 2 статьи 7 настоящего Федерального закона сведения, ранее не учтённые в государственных информационных системах органов государственной власти Российской Федерации, органов управления государственными внебюджетными фондами, а также обрабатываться записи федерального регистра сведений о населении. Перечень указанных в настоящей части федеральных органов исполнительной власти определяется указом Президента Российской Федерации».

Установление тотального контроля за гражданами (предпосылки и условия для чего создаёт исследуемый законопроект) не в интересах правового государства, поэтому не выглядят убедительными утверждения о действительном наличии заинтересованности государства в создании объединённой базы персональных данных и мотивированности этого публичными интересами.

Ещё можно было бы понять и принять тезис о необходимости сведения в объединённую базу персональных данных – данных паспортов, свидетельств о рождении, заключении брака, расторжении брака, смерти, документов воинского, налогового и пенсионного учёта граждан, документов, связанных с гражданством, документов регистрационного учёта по месту пребывания и по месту жительства, о регистрации физических лиц в качестве индивидуальных предпринимателей и ещё по ряду позиций.

Этим объёмом создаваемый регистр далеко не исчерпывается. Законопроектом предусмотрено внесение в регистр весьма значительных объемов сведений достаточно с размытыми границами, а именно, например, сведения об учётной записи физического лица в единой системе идентификации и аутентификации, относящейся к компетенции федерального органа исполнительной власти, осуществляющий функции по выработке и реализации государственной политики информативно-правовому регулированию в сфере информационных технологий (часть 3 статьи 10), то есть, в действительности, что угодно, на что будет способна фантазия составителей опросников или систем фиксации в таких системах аутентификации, пределы чего не ограничиваются ни исследуемым законопроектом, ни другими актами. Или сведения о документах об иностранном образовании и (или) иностранной квалификации, признаваемых в Российской Федерации (пункт 2 части 5 статьи 10).

Сведение воедино более чем значительных массивов персональных данных в предусмотренном законопроектом регистре не имеет соотносимых референтных отсылок к реальным потребностям правового государства и общества. Не существует реальной и оправдываемой публичными интересами необходимости в соединении столь разнородных баз персональных данных, влекущем повышенные риски массированных утечек информации. Этот реализованный в законопроекте подход вступает в грубое противоречие с частью 3 статьи 5 Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 31.12.2017) «О персональных данных»: «Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой», и с частью 4 статьи 5 названного Федерального закона: «Обработке подлежат только персональные данные, которые отвечают целям их обработки» (в названном Федеральном законе именно правомерная и обоснованная цель ставится во главу угла при решении вопроса о пределах оперирования персональными данными).

Можно допустить, что в связи с принятием закона, проект которого рассматривается в настоящем заключении, будут внесены изменения и в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», но общей проблемы это не снимет.

Содержание статьи 10 исследуемого законопроекта указывает на выраженную несовместимость многих массивов персональных данных, сводимых в регистр.

Статьи7 и 10 законопроекта определяют обширность охвата самых разнообразных персональных данных человека, сведений о физическом лице. Указанные в этой статье органы обязаны предоставлять такого рода сведения «для формирования и ведения федерального регистра сведений о населении», при этом в законопроекте ничего не сказано о хотя бы минимальном учёте мнения и согласия физических лиц, чьими персональными данными предусмотрено оперировать в создаваемом регистре.

Ключевым принципиальным вопросом здесь является вопрос о том, насколько согласие на обработку и хранение своих персональных данных, предоставленное физическим лицом в прошлом какому-либо органу государственной власти, может интерпретироваться расширительно – в смысле произвольного распоряжения этим органом такими данными в последующем и предоставления таковых третьим лицам – другим органам власти, в том числе для формирования предусмотренного законопроектом регистра. Существенно важен также вопрос о том, насколько широки такие правомочия государственных органов исполнительной власти – самостоятельно, по своему усмотрению распоряжаться массивами персональных данных физических лиц и урегулировать такие полномочия подзаконными актами, в обход законодательной власти (законопроект по многим значимым процедурным вопросам отсылает к подзаконным актам правительства).

Всё население России в рамках предметно-объектной области регулирования законопроекта выступает безмолвными и бесправными статистами, которых никто ни о чём не намерен и не обязан спрашивать, не намерен учитывать мнение. Направленность законопроекта на системное консолидирующее агрегирование и без него уже существующих многочисленных и разнообразных баз персональных данных, которые уже собираются (собраны, наполнены) и ведутся, не оправдывает недостатки законопроекта и детерминируемые им риски.

Опасения экспертов и общества в целом относительно таких утечек не беспочвенны, напротив – ежегодно подтверждаются множеством подобного рода случаев как в России, так и за рубежом, что находит отражение и подтверждение в официальных документах, по таким случаям возбуждаются уголовные дела.

Исследуемый законопроект создаёт правовые условия и основания сведения и консолидации огромного числа разнородных массивов персональных данных и информации, касающейся частной жизни людей, в единую информационную систему хранения информации, но в этой части не содержит никаких дополнительных специфических гарантий защиты персональных данных (несколько норм на этот счёт – скорее, декларативного характера, не обеспечены реальными механизмами) и механизмов ответственности за необеспечение её защиты. Однако такие меры совершенно необходимы, учитывая то, на что направлен законопроект.

Законопроект закрепляет слишком обширный круг лиц, имеющих правомерный доступ к персональным данным в формируемом регистре.

И это тоже предопределяет создание предпосылок для масштабных злоупотреблений доступом к этому регистру в целях не только неправомерного вмешательства в частную жизнь человека и дискриминационных действий в отношении него, но даже и его дискредитации или шантажа.

Следует также отметить следующий момент.

Согласно части 8 статьи 8 законопроекта: «Сведения об одном физическом лице, включаемые в федеральный регистр сведений о населении, образуют одну запись федерального регистра сведений о населении. Запись федерального регистра сведений о населении в федеральном регистре сведений о населении идентифицируется не повторяющимся во времени и на территории Российской Федерации номером. При внесении изменений в запись федерального регистра сведений о населении номер указанной записи не изменяется…».

Разработчики законопроекта не могут не знать, что такого рода попытки манипуляций с принудительной подменой фамилии, имени и отчества человека неким «идентификатором»(сочетанием цифр, или же буквенно-числовым сочетанием, не совпадающим с фамилией, именем и отчеством) уже длительное время вызывают отторжение и резкую религиозно-мотивированную (при этом рационально отсылающую к конституционно-гарантированным правам и свободам) критику со стороны крупнейших религиозных организаций исторически представленных в России религий. Необходимо принимать во внимание и то, что историческая память российского народа детерминирует однозначную негативную аллюзию (отсылку) по поводу таких манипуляций с принудительной подменой фамилии, имени и отчества человека на номер – к лагерным номерам заключённых в концентрационных лагерях нацистской Германии времён Второй мировой войны. [Из Ноты Народного Комиссара Иностранных дел СССР В.М. Молотова от 11.05.1943 о массовом насильственном уводе в немецко-фашистское рабство мирных советских граждан и об ответственности за это преступление гитлеровских властей и частных лиц, эксплуатирующих подневольный труд советских граждан в Германии: «Советские граждане загнаны в концентрационные лагери… Советских людей лишили имени, их вызывают по номерам» (СССР и Нюрнбергский процесс. Неизвестные и малоизвестные страницы истории: Сб. документов / Науч. ред. и сост. Н.С. Лебедева. М.: МФД, 2012, с. 127)]. См. также документы Нюрнбергских процессов.) В этих условиях не находит рациональных объяснений, что именно препятствует идентификации человека посредством номера СНИЛС, серии и номера паспорта или свидетельства о рождении, что детерминирует необходимость упрямого навязывания некоего всеобъемлющего персонального номера, позиционируемый именно как «идентификатор».

В законопроекте также не прописан необходимым и достаточным образом механизм истребования гражданами права доступа к записи в регистре о себе, прежде всего для исправления неточной, неполной или искажённой информации о них. Полагаем, что механизм, установленный частями 6, 7 и 10 статьи 8 законопроекта прописан недостаточно чётко.

Создание законопроектом угроз национальной безопасности страны. Учитывая нерешённость в должной мере проблемы импортозамещения в сфере IT-технологий в России, создание исследуемым законопроектом объединённой базы персональных данных может представлять прямую и явную угрозу национальным интересам и национальной безопасности Российской Федерации.

Часть 12 статьи 8 устанавливает: «В целях обеспечения безопасности государства, а также прав и свобод отдельных физических лиц в соответствии с законодательством Российской Федерации о государственной защите отдельных физических лиц в федеральном регистре сведений о населении предусматриваются формирование и ведение учета сведений, в том числе об указанных физических лицах, обособленно. Особенности обособленного формирования и ведения учёта отдельных сведений федерального регистра сведений о населении определяются Президентом Российской Федерации». Эта норма может (и будет) создавать предпосылки угроз утечки информации об оперативном, следственном и руководящем составах целого ряда правоохранительных органов, органов разведки, поскольку пробелы в отношении цифровых образов конкретных лиц или фиксируемые какие-то манипуляции (цифровые следы манипуляций) с их цифровыми образами могут явно указывать на какой-то особый статус таких лиц. И это повлечёт несанкционированное и недопустимое раскрытие этих лиц в публичном пространстве и/или перед органами разведки иностранных государств. Когда распределённо и агрегатированно-разграниченно существовавшие базы, по которым таких лиц потенциально возможно вычислить, ранее контролировались органами внутренних дел, органами военного управления и т.д., то это был один режим охраны информации, объективно затруднявший поиск, выявление идентификацию лиц, чьи личности и цифровые профили подлежали особым режимам защиты. Но предусматриваемый законопроектом регистр будут обслуживать в немалой степени люди, несколько далёкие от всего этого, – налоговики, IT-специалисты, технические работники, занимающиеся сканированием документов и иными формами ввода данных, и, что существенно важно здесь, список лиц, управомоченных на доступ к регистру, предусматривается весьма широким. Не снят с повестки дня и вопрос доминирования иностранного программного обеспечения в основе создания и обслуживания если не самого регистра (что тоже не факт), то коммуникаций, обеспечивающих его наполнение предусмотренными сведениями. То есть технические предпосылки для утечки информации объективно существуют.

Вызывает сомнения норма о внесении в регистр всех документов об образовании физических лиц (подпункт «м» пункта 2 части 2 статьи 7, часть 5 статьи 10).Способно повлечь серьёзные негативные последствия сопряжение этой информации (об образовании) в одной базе с документами воинского учёта в случаях, если, к примеру, у человека ранее был допуск к документам уровня не просто «совершенно секретно», а «особой важности», и при этом у человека документы об образовании с военно-учётной специальностью специалиста по эксплуатации ядерных боеприпасов (положим, в самом дипломе – в гражданской интерпретации, хотя и легко прочитываемой нужным образом профильными специалистами), или если у человека военно-учётная специальность снайпера, подрывника, специалиста в сфере радиоэлектронной борьбы или криптографии, специалиста разведки или нейтрализации диверсионно-разведывательных групп противника. Законопроект создаёт возможности(для умеющих это делать лиц, получивших несанкционированный доступ к регистру) получить информацию о том, что у внедрённого в банду или террористическую группировку сотрудника правоохранительного органа наличествует диплом об окончании вуза системы МВД России, Академии ФСБ России, Академии внешней разведки или вуза системы Следственного комитета РФ, или что его отец (или его сын) окончил подобного рода вуз (подпункт «о» пункта 2 части 2 статьи 7 законопроекта предусматривает «привязку»в регистре к цифровому образу человека цифровых образов его близких родственников со всеми их уже данными и идентификаторами).

С другой стороны, человек замещает должность, явно предполагающую наличие высшего образования, но в соответствующей графе у него (чтобы не показывать Академию ФСБ, Академию внешней разведки, Высшие офицерские курсы «Выстрел», Академию управления МВД России, Военную академию Генерального штаба Вооружённых сил РФ и т.п.) у него пробел или именно эта информация закрыта, – это не может не дать основания для определённых неприемлемых с точки зрения интересов национальной безопасности выводов.

Закрывать режимом секретности весь создаваемый по законопроекту регистр никто не станет, иначе теряется его смысл, а норма о том, что «оператор государственной информационной системы осуществляет защиту сведений, содержащихся в федеральном регистре сведений о населении, в соответствии с требованиями… законодательства Российской Федерации о государственной и иной охраняемой законом тайне при их обработке в государственной информационной систем» (пункт 3 части 5 статьи 9 законопроекта) – носит декларативно-декоративный характер.

Строго говоря, никакие правоохранительные органы страны не должны были бы согласиться отдавать полноту сведений о своих сотрудниках и их родственниках непонятно кому (недавно, в середине апреля 2020 года, имел место сопоставимый случай, когда московские власти по надуманным основаниям попытались заставить переписать все номера личных и служебных автомашин сотрудников спецслужб, но те вовремя спохватились; законопроект идёт намного дальше).

Но и безотносительно всего этого, для основной массы населения законопроект создаёт высокоуровневые риски. Масштабные утечки персональных данных имеют место систематически во всём мире, в том числе и в России. Доступ ко столь значительным массивам персональных данных, сведённых воедино, позволяет сформировать, исходя из цифрового образа человека, достаточно определённый (или необходимо аппроксимированный к таковому) прогностическо-поведенческий профиль человека – не только спецслужбам (и не только отечественным в случае несанкционированного доступа к регистру), но и преступным группировкам.

Общеизвестен способ защиты информации – её диверсифицированное агрегатирование (компоновка по отдельным самостоятельным и обособленным базам данных), в этом случае утечка влечёт лишь локальный и частичный ущерб. Тогда как полнота данных регистра (перевод его на мета-уровень) сделает такие утечки фатальными и катастрофическими, непозволительно масштабными.

Выводы. Проект федерального закона № 759897-7 «О едином федеральном информационном регистре, содержащем сведения о населении Российской Федерации», принятый Государственной Думой ФС РФ в двух чтениях, содержит существенные юридические недостатки, требующие его значительной доработки, в том числе устранения существенных правовых пробелов.

Понкин Игорь Владиславович, доктор юридических наук, профессор, член Экспертного совета при Комитете Государственной Думы по развитию гражданского общества, вопросам общественных и религиозных объединений

Источник