АНАЛИТИЧЕСКАЯ СПРАВКА ПО ПРОЕКТУ ПРИКАЗА РОСКОМНАДЗОРА «ОБ УТВЕРЖДЕНИИ ПРАВИЛ ИСПОЛЬЗОВАНИЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ

МЕНЮ


Искусственный интеллект
Поиск
Регистрация на сайте
Помощь проекту
Архив новостей

ТЕМЫ


Новости ИИРазработка ИИВнедрение ИИРабота разума и сознаниеМодель мозгаРобототехника, БПЛАТрансгуманизмОбработка текстаТеория эволюцииДополненная реальностьЖелезоКиберугрозыНаучный мирИТ индустрияРазработка ПОТеория информацииМатематикаЦифровая экономика

Авторизация



RSS


RSS новости


23 марта 2021 г. Минцифра РФ и Роскомнадзор опубликовали проект приказа «Об утверждении Правил использования информационной системы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций» (https://regulation.gov.ru/p/114371). С этого дня началось его публичное обсуждение, которое завершится 19 апреля 2021 г. Сработала закладка, заблаговременно сделанная в ч. 7 статьи 10.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», согласно которой правила использования информационной системы уполномоченного органа по защите прав субъектов персональных данных, в том числе порядок взаимодействия субъекта персональных данных с оператором, определяются уполномоченным органом по защите прав субъектов персональных данных. Именно ссылаясь на ее, а также на Положение о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций Роскомнадзор и собирается утвердить данные Правила. Согласно им информационная система Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – информационная система), будет использоваться в том числе для взаимодействия субъекта персональных данных с оператором (далее – участники взаимодействия), в случаях, предусмотренных федеральными законами, актами Правительства Российской Федерации для обеспечения получения оператором согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения (далее – согласие). П. 2 Правил определяет, что информационная система используется для реализации следующих функций:

а) идентификации сведений об участниках взаимодействия;

б) аутентификации сведений об участниках взаимодействия;

в) авторизации участников взаимодействия;

г) предоставления Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций – оператору информационной системы, иным государственным органам в случаях, определенных федеральными законами, сведений об участниках взаимодействия, размещенных в информационной системе;

д) иных функций, предусмотренных федеральными законами, актами Президента Российской Федерации и актами Правительства Российской Федерации.

Сразу следует отметить, что первые две функции, указанные в этом пункте, подпадают под определения, введенные в конце 2020 г. в Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 09.03.2021) "Об информации, информационных технологиях и о защите информации". Идентификация в нем определяется как совокупность мероприятий по установлению сведений о лице и их проверке, осуществляемых в соответствии с федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами, и сопоставлению данных сведений с уникальным обозначением (уникальными обозначениями) сведений о лице, необходимым для определения такого лица (далее - идентификатор). Что же касается аутентификации, то это - совокупность мероприятий по проверке лица на принадлежность ему идентификатора (идентификаторов) посредством сопоставления его (их) со сведениями о лице, которыми располагает лицо, проводящее аутентификацию, и установлению правомерности владения лицом идентификатором (идентификаторами) посредством использования аутентифицирующего (аутентифицирующих) признака (признаков) в рамках процедуры аутентификации, в результате чего лицо считается установленным (пп. 21-22 ст. 2 данного ФЗ). Авторизация в Федеральном законе от 27.07.2006 N 149-ФЗ (ред. от 09.03.2021) "Об информации, информационных технологиях и о защите информации" упоминается один-единственный раз, а именно в ч. 4.1 ст. 14: «Правительство Российской Федерации определяет случаи, при которых доступ с использованием сети "Интернет" к информации, содержащейся в государственных информационных системах, предоставляется исключительно пользователям информации, прошедшим авторизацию в единой системе идентификации и аутентификации, а также порядок использования единой системы идентификации и аутентификации». То, что благодаря этой информационной системе содержащиеся в ней сведения об участниках взаимодействия, в том числе и персональные данные, будут предоставляться Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций как ее оператору информационной системы, а также иным государственным органам, даже не скрывается. Наконец, последний подпункт позволяет использовать эту информационную систему так, как это будет определено не только федеральными законами, но и подзаконными актами.

П. 5 Правил четко делит всех участников информационной системы на две категории. С одной стороны это операторы, которыми могут быть государственные органы, муниципальные органы, юридические лица, индивидуальные предприниматели, физические лица, а с другой - субъекты персональных данных, предоставляющие согласие оператору. К последней категории относятся как граждане Российской Федерации, так и иностранные граждане и лица без гражданства. Хорошо проглядываются контуры строящегося информационного общества: с одной стороны физические лица, давшие согласие на обработку своих персональных данных, гражданство которых никого не интересует, с другой – операторы, которые эти данные обрабатывают, причем ими могут быть кто угодно, от государства до физического лица, организационно-правовая форма или форма собственности которых опять-таки никого не волнует. Регистрация субъектов персональных данных, предоставляющих согласие оператору, осуществляется с использованием интерактивной формы регистрации информационной системы (далее – форма регистрации субъекта) путем внесения следующих сведений:

а) для граждан Российской Федерации – фамилия, имя, отчество (при наличии), дата рождения, реквизиты основного документа, удостоверяющего личность (серия, номер, кем выдан, дата выдачи, код подразделения), адрес места жительства (регистрации), номер телефона и адрес электронной почты;

б) для иностранных граждан и лиц без гражданства - фамилия, имя, отчество (при наличии), дата рождения, вид, номер и страна выдачи документа, удостоверяющего личность, адрес регистрации по месту жительства (пребывания) (при наличии), номер телефона и адрес электронной почты.

Уже это свидетельствует, что над зарегистрировавшимися таким образом лицами будет осуществляться разносторонний контроль как благодаря паспорту или иному документу, так и по номеру телефона и адресу электронной почты. Информация, содержащаяся в полях формы регистрации субъекта, проходит проверку достоверности с использованием государственных информационных систем, в том числе ЕСИА. Какие еще государственные информационные системы собираются задействовать для этого, не сообщается, однако вполне возможно, что в будущем может быть использована и активно продвигаемая биометрическая идентификация граждан. В случае достоверности и полноты введенной информации по результатам ее проверки Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, регистрация считается завершенной (п. 7). Если же вводимые при регистрации сведения не соответствуют информации, содержащейся в государственных информационных системах, то регистрация в информационной системе не осуществляется (п. 10). Зарегистрированные в информационной системе участники взаимодействия получают доступ к информационной системе (п. 11). Замечательным является и п. 4 Правил: «Использование информационной системы в целях обеспечения получения оператором согласия осуществляется после регистрации участника взаимодействия в информационной системе». В п. 3.2 Формы сводного отчета о проведении оценки регулирующего воздействия проекта акта с высокой степенью регулирующего воздействия № 02/08/03-21/00114371, также размещенного на этом сайте, говорится о причинах этой инициативы: «Отсутствие нормативно регламентированных правил использования информационной системы Роскомнадзора, влечет невозможность получения от субъекта персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, а также подачу и отзыв соответствующего согласия посредством информационной системы Роскомнадзора».

«Инициатива Роскомнадзора направлена в первую очередь на социальные сети и мессенджеры, пояснил “Ъ” автор поправок, депутат «Единой России» Антон Горелкин. У сервисов, по его словам, будет выбор: либо они запустят собственные платформы для сбора согласий, либо будут использовать ЕИС. Собирать согласия придется только с новых пользователей сервисов, уточнил он. В случае несоблюдения соцсетями требований им грозит штраф до 100 тыс. руб. Но в текущей версии под действие нового регулирования попадает любое распространение персональных данных с согласия гражданина не только онлайн, но и офлайн...

Эксперты настороженно относятся и к новой инициативе. Ни Роскомнадзору, ни соцсетям ни к чему такой объем данных, если они не планируют передавать их правоохранительным органам или монетизировать через рекламу»,— считает эксперт «Роскомсвободы» Михаил Третьяк. По его мнению, есть также риск злоупотреблений со стороны правоохранительных органов. В проекте Роскомнадзора не отражены принципы обеспечения безопасности системы, подчеркивает зампред комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России Борис Едидин. По его мнению, такой «суперагрегатор согласий», безусловно, будет популярной мишенью для злоумышленников» (Королев Н. Серпастый, соцсетястый). В прессе говорится, что эта регистрация коснется только новых пользователей соцсетей. В Правилах об этом не говорится, однако даже если это и так, то в случае принятия обществом этого нововведения нет никакой гарантии, что потом подобным же образом не заставят регистрироваться уже присутствующих в соцсетях пользователей.

25.03.2021 г. в прессе появилась информация, что Роскомнадзор счел избыточным запрашивать паспортные данные и место жительства при регистрации в соцсетях и мессенджерах. Согласно данному сообщению регистрация в системе будет проводиться только через единую систему идентификации и аутентификации (ЕСИА), которая связана с порталом госуслуг. Сбор и обработка дополнительных данных не допускается. Такое изменение внесут в обновленный проект приказа Роскомнадзора. Кроме того, в ведомстве напомнили, что использование системы необязательно для граждан и не является условием регистрации в соцсетях и мессенджерах (Алпатова И. Хранить умолчание). Однако по состоянию на 29.03.2021 г. никаких изменений текста данного проекта приказа на сайте не произошло.

П. 12 Правил очерчивает перечень действий, которые обеспечивает эта информационная система:

а) возможность подачи и отзыва согласия субъектом персональных данных;

б) возможность приема и получения согласия оператором;

в) формирование реестра записей о поданных, полученных и отозванных согласиях, в том числе в личных кабинетах участников взаимодействия;

г) формирование и направление участникам взаимодействия уведомлений о подаче, приеме, отзыве согласий;

д) возможность обмена информацией о результатах взаимодействия между участниками взаимодействия;

е) регистрацию действий должностных лиц Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении возложенных законодательством Российской Федерации полномочий в области персональных данных;

ж) возможность направления должностными лицами Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций запросов или требований об устранении выявленных нарушений в области персональных данных участникам взаимодействия;

з) формирование Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций – оператором информационной системы реестра записей о результатах рассмотрения запросов и исполнения требований об устранении выявленных нарушений в области персональных данных Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций участниками взаимодействия;

и) получение уведомлений от участников взаимодействия об устранении нарушений в области персональных данных, направленных в электронном виде.

Зарегистрированному участнику взаимодействия предоставляется доступ к личному кабинету, размещенному на официальном сайте Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций. После прохождения идентификации и аутентификации в информационной системе участники взаимодействия вправе самостоятельно посредством использования личного кабинета изменить сведения, содержащиеся в информационной системе, при условии соответствия измененных сведений информации, содержащейся в государственных информационных системах, давать согласия по форме, размещенной на официальном сайте Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций https://pd.rkn.gov.ru и иную информацию, необходимую для обеспечения получения оператором согласия (п. 15). Какая эта будет форма, определяющая дачу физическим лицом согласия и на что именно, не уточняется. Вполне возможно, что граждан в добровольно-принудительном порядке заставят давать согласие на все, что необходимо владельцам соцсетей или оператору. Зато человек получает великое право самостоятельно изменять сведения, содержащиеся в информационной системе, однако при условии, что они уже изменены в других государственных информационных системах. Какой в этом смысл совершенно не понятно. Весьма важным и интересным является заключительный п. 16 Правил: «Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций – оператор информационной системы вправе ограничить использование учетной записи участника взаимодействия в случае несанкционированного доступа третьих лиц к его учетной записи, выявления случаев противоправного использования учетной записи участника взаимодействия, получения информации о его недееспособности или смерти, получения его заявления об удалении учетной записи». Войдя в эту систему и дав согласие на обработку своих данных, человек попадает под достаточно жесткий контроль Роскомнадзора, который в любой момент на законных основаниях может ограничить использование учетной записи участника взаимодействия под любым из перечисленных в данном пункте предлогом. Как он будет определять несанкционированный доступ третьих лиц к учетной записи и что такое ее противоправное использование самим человеком в данном проекте приказа опять-таки никак не раскрывается, что открывает возможность произвола со стороны данной федеральная службы.

Следует отметить, что это уже не первая попытка подобного контроля. 08 июля 2020 года на сайте https://regulation.gov.ru был опубликован проект Постановления Правительства РФ «О проведении эксперимента по осуществлению идентификации и аутентификации с использованием федеральной государственной информационной системы «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» пользователей социальных сетей в сети «Интернет», а также пользователей агрегаторов информации о товарах (услугах), информационных ресурсов подбора персонала и поиска работы, при совершении сделок и иных юридически значимых действий посредством указанных агрегаторов информации о товарах (услугах), информационных ресурсов подбора персонала и поиска работы» (https://regulation.gov.ru/projects#npa=105741). Согласно ему с 1 июля 2020 г. по 1 июля 2021 г. планировалось проведение эксперимента по идентификации и аутентификации с использованием федеральной государственной информационной системы «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» (ЕСИА) пользователей социальных сетей в сети «Интернет», а также потребителей (заказчиков) и продавцов (исполнителей), иных сторон договоров при использовании ими агрегаторов информации о товарах (услугах), информационных ресурсов поиска сотрудников и работы, в целях совершения сделок купли-продажи товаров (выполнения работ, оказания услуг), аренды имущества, совершения юридически значимых действий в целях трудоустройства и иных юридически значимых действий, посредством агрегаторов информации о товарах (услугах), информационных ресурсов поиска сотрудников и работы.

Согласно п. 4.1 ст. 14 Федерального закона от 27.07.2006 N 149-ФЗ (ред. от 03.04.2020) "Об информации, информационных технологиях и о защите информации" Правительство Российской Федерации определяет случаи, при которых доступ с использованием сети "Интернет" к информации, содержащейся в государственных информационных системах, предоставляется исключительно пользователям информации, прошедшим авторизацию в единой системе идентификации и аутентификации, а также порядок использования единой системы идентификации и аутентификации. С помощью проекта рассматриваемого Постановления Правительство РФ хотело создать основу для возможности распространения подобного же порядка, фактически насильно принуждающего граждан к регистрации в ЕСИА, и в целом ряде случаев, когда физические лица взаимодействуют уже не с государственными органами, а частными фирмами. Для этого Правительство РФ выбрало такие важные, если не сказать жизненно важные для граждан сферы, как общение в социальных сетях, заключения договоров в отношении как движимого, так и недвижимого имущества и поиск работы. Как отмечают исследователи, ЕСИА — одна из наиболее важных систем в инфраструктуре «Электронного правительства». «В «идеальной модели» с точки зрения Минкомсвязи, при любом электронном взаимодействии государства с гражданами авторизация должна проходить через ЕСИА». Зарегистрированные в ней граждане со временем смогут пользоваться большинством государственных услуг, не отходя от компьютера, а государство с ее помощью сформирует электронный реестр активного населения, который будет содержать не только паспортные данные или идентификационные номера (СНИЛС, ИНН), но и актуальные мобильные телефоны и адреса электронной почты. При этом с самого начала предполагалось, что ЕСИА может быть использована для идентификации и аутентификации на других интернет-порталах. Несмотря на заявленную цель создания больших удобств для населения при взаимодействии с госорганами, глобальной целью ЕСИА с точки зрения государства может являться тотальный контроль над своими гражданами. Экс-гендиректор Google Эрик Шмидт и глава Google Ideas Джаред Коэн в своей книге «Новый цифровой мир. Как технологии меняют жизнь людей, модели бизнеса и понятие государств» предсказывали эту возможность: «Некоторые правительства, решив, что иметь тысячи анонимных, бесконтрольных и непроверенных граждан — «подполье» — слишком рискованно, захотят узнать, кто скрывается за каждым онлайн-аккаунтом, и потребуют верификации на государственном уровне для усиления контроля над виртуальным пространством». Виртуальная личность человека, по мнению Шмидта и Коэна, «станет целым созвездием профилей, созданных в интернете, которое будет верифицироваться и даже регулироваться властями». (Левашов А. Идентификация всея Руси. Как это будет?). В этом отношении стремление Правительства РФ с помощью рассматриваемого документа в первую очередь с помощью ЕСИА установить регистрацию граждан в социальных сетях и их последующего использования становится вполне объяснимой. Как видим, требовать от граждан паспортные данные, номера мобильных телефонов и адреса электронной почты оно собиралось уже почти год назад.

Необходимо обратить внимание на вектор движения, который задает два рассмотренных проекта нормативных актов, если рассматривать вопрос обязательной идентификации пользователей Интернета в мировом масштабе. Хотя в каждом государстве могут быть свои особенности, однако в целом отчетливо просматриваются два противоположных подхода к решению этого вопроса. На одном полюсе сосредоточились преимущественно авторитарные режимы. Так, например, принятый еще в октябре 2016 года Закон о кибербезопасности КНР фактически исключает анонимность пользователей «глобальной паутины»: «При регистрации доступа в интернет, регистрации в социальной сети, подключении стационарного телефона или мобильной связи, предоставлении клиенту услуг публикации информации или ее передачи, при подписании соглашения (об оказании услуг) клиент должен предоставить подлинное удостоверение личности. Если оно не будет предоставлено, то оператор услуг не имеет права на обслуживание клиента». При этом «государство принимает стратегию по разработке технологий и созданию надежных средств удостоверения личности, а также их взаимного признания». (Кириллов А., Селищев А. Кибербезопасность по-китайски: в КНР вступает в силу новый закон об интернете). Впоследствии он был дополнен обязательной идентификации личности для написания комментариев в интернете (Китай вводит обязательную идентификацию личности для написания комментариев в интернете). По этому же пути с 2018 г. пошла и Белоруссия (Белоруссия с 1 декабря введет обязательную идентификацию интернет-пользователей). Очевидно, что в обеих странах обязательная идентификация интернет-пользователей обусловлена стремлением государства к тотальному контролю за своими гражданами и их высказываниями в первую очередь по политическим темам. Прямо противоположный подход наблюдается в ЕС, где Комитет Министров 28 мая 2003 года в Страсбурге принял особую «Декларация о свободе общения в Интернете», седьмой принцип которой прямо провозглашает право интернет-пользователей на анонимность: «В целях обеспечения защиты Интернета от контроля и расширения свободного выражения идей и информации, государства-члены должны уважать желание пользователей Интернета не раскрывать свою личность. Это не мешает государствам-членам принимать меры и осуществлять сотрудничество в целях установления лиц, виновных в преступных деяниях, в соответствии с национальным законодательством, Конвенцией о защите прав человека и основных свобод и другими международными соглашениями между правоохранительными органами и органами юстиции» (Декларация о свободе общения в Интернете). «Регламент Европейского Парламента и Совета Европейского Союза 2016/679 от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС» (Общий Регламент о защите персональных данных / General Data Protection Regulation /GDPR) особо подчеркивает: «(28) Применение псевдонимизации в отношении персональных данных может снизить риски для субъектов данных и помочь контролерам и лицам, обрабатывающим данные, при выполнении ими своих обязанностей по защите данных». Подобные положения зафиксированы и на уровне законодательств отдельных стран. Так, например, в соответствии с §13 ст. 6 Закона ФРГ о телемедиа (Telemediengesetz), поставщики услуг массовых электронных коммуникаций (включая веб-сайты) должны предоставлять пользователям возможность оставаться неизвестными или использовать псевдоним насколько это технически возможно и разумно (Михайлов C.В. Анонимность в Интернете). Этими же принципами в целом руководствуется и европейская судебная практика. Европейский суд по правам человека, рассмотрев дело «Компания «Делфи АС» против Эстонии» (жалоба № 64569/09, постановление от 16 июня 2015 г.), указал, что поставщик услуг может «предусмотреть более высокую степень анонимности для своих пользователей. В этом случае от пользователей не требуется сообщать о себе вообще никаких сведений и их можно установить в ограниченной степени только по данным, сохранившимся у интернет-провайдера. Обычно такие данные сообщаются только по запросу следственных или судебных органов и на ограничительных условиях. Тем не менее, в некоторых случаях это может быть необходимо для установления правонарушителей и привлечения их к ответственности» (Наумов В.Б. Научные подходы к классификации видов правовой идентификации в информационных правоотношениях). Отметив, что Интернет является общественно важным ресурсом, Совет Европы в своей «Рекомендации CM/Rec(2014)6», особо подчеркнул, что «никто не должен подвергаться незаконному, произвольному или необоснованному вмешательству в свои права и основные свободы при использовании сети Интернет» (ст. 3). В связи с рассматриваемой темой важным являются и положения ст. 2 данной «Рекомендации», которая гласит: «Обязательство государств уважать, защищать и поддерживать права человека включает в себя надзор за частными компаниями. Права человека, являющиеся универсальными и неделимыми, а также связанные с ними стандарты, превалируют над общими требованиями и условиями, которые налагаются на интернет-пользователей любыми субъектами частного сектора». (Руководство по правам человека для интернет-пользователей. Совет Европы, 2014. С. 5). Несмотря на наличие в законодательствах отдельных государств двух прямо противоположных тенденций, позиция Организации Объединенных Наций в целом явно ближе к европейскому, чем китайскому варианту. Совет по правам человека ООН провел заседание, на котором было отмечено, что анонимное использование интернета и использование шифрования личных данных и средств коммуникации являются неотъемлемым правом человека. Об этом говорится в опубликованном документе, принятом по итогам заседания. Члены совета пришли к выводу, что анонимность в интернете — один из важных инструментов, позволяющий в цифровую эпоху свободно высказывать свое мнение (ООН признала анонимность в интернете правом человека). К сожалению, эти положения Совета по правам человека ООН носят рекомендательный, а не обязательный характер. Необходимо также отметить сознательную ложь авторов данного проекта приказа. В п. 4.1 Формы сводного отчета о проведении оценки регулирующего воздействия проекта акта с высокой степенью регулирующего воздействия № 02/08/03-21/00114371, посвященному международному опыту в соответствующих сферах деятельности, они написали: «Аналогичный опыт отсутствует». И это несмотря на то, что информация о китайском и белорусском опыте не является секретной и открыто обсуждается в Интернете.

Планы фактического принуждения пользователей социальных сетей к регистрации, в ходе которой они обязаны будут сообщать свои паспортные данные, телефон и электронную почту грубо нарушают Конституцию РФ. Часть 1 ст. 23 Конституции закрепляет право каждого на неприкосновенность частной жизни, личную и семейную тайну. Часть 1 ст. 24 Конституции РФ устанавливает прямой запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия. Поскольку право на неприкосновенность частной жизни относится к числу основных прав и свобод человека, оно является неотчуждаемым в силу ст. 17 Конституции РФ. Ее следующая статья определяет, что права и свободы человека и гражданина являются непосредственно действующими и определяют смысл, содержание и применение законов, деятельность законодательной и исполнительной власти. Согласно статье 9 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 30.12.2020) "О персональных данных" «субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе». Статья 3 Федерального закона от 27.07.2006 N 149-ФЗ (ред. от 30.12.2020) "Об информации, информационных технологиях и о защите информации" относит неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия к принципам правового регулирования отношений в сфере информации, информационных технологий и защиты информации. Все эти важные нормы права точно также нарушаются данным проектом, поскольку полученное в добровольно-принудительном порядке согласия субъекта персональных данных не может быть свободным. Принятие его представляет непосредственную угрозу нарушения базовых конституционных прав. С учетом того, что в социальных сетях люди также обмениваются информацией, то эти планы нарушают и статью 29 Конституции, гарантирующей свобода мысли и слова, а также положение, согласно которому «каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом». Если право доступа в социальную сеть будет обусловлено фактом регистрации в ЕСИА, то ни о каких правах свободного поиска, получения, передачи, производства и распространения информации не может быть и речи.

Специалисты уже давно указывали на уязвимые места этой затеи: «Критики ЕСИА, помимо прочего, обращают внимание на низкую защищенность системы. «Выполнять разграничение доступа на основе пар «логин-пароль» — это прошлый век и совершенно небезопасно», — считает Сергей Муругов, генеральный директор компании «Топ Кросс», занимающейся разработкой систем по технологии инфраструктуры открытых ключей. Идентификация по ЭЦП, как это реализовано в ЕПГУ, по мнению эксперта, является «наидырявейшим решением», уязвимым, в частности, перед атаками класса MITM (Man-in-the-middle, «Человек посередине»). При таких атаках злоумышленник может подменить контрольное число с сервера на свертку от произвольного (возможно, даже и злонамеренного по содержанию) документа, и автоматическая выработка электронной подписи пользователем приведет к факту визирования авторства такого документа, к которому пользователь не имеет никакого отношения»» (Левашов А. Идентификация всея Руси. Как это будет?). В «Интернете» также обращалось внимание на проблемы с безопасностью (Как я нашел дыру в системе безопасности сайта госуслуги.рф), так и то, что в результате простой технической ошибки с сайта госуслуг в Сеть попали личные данные почти 30 тыс. человек, в частности паспортные данные, ИНН, СНИЛС (Филипенок А. СМИ узнали об утечке данных пользователей сайта госуслуг). Понятно, что подобное состояние сайта госуслуг, с помощью которого Правительство РФ в добровольно-принудительном порядке хочет понудить граждан давать свое согласие, способно привести к всплеску преступности. С учетом того количества информации о человеке, который данный проект приказа хочет обязать предоставлять, эксперты видят риски утечек и злоупотреблений в сборе такого объема данных (Королев Н. Серпастый, соцсетястый). Вступление в силу данного документа потенциально способно привести как к усилению тотальной слежки и дальнейшему ограничению свободы слова в Интернете, так и к всплеску разного рода мошенничества, жертвами которого могут стать персональные данные и согласие граждан. Следует отметить, что опасность утечек понимают и сами инициаторы. В п. 13 Формы сводного отчета о проведении оценки регулирующего воздействия проекта акта с высокой степенью регулирующего воздействия № 02/08/03-21/00114371 они сами оценивают риски распространения персональных данных оператором, осуществляющим обработку персональных данных без соблюдения условий и запретов такой обработки как средние. Бороться же с этим они собираются посредством направления запросов, требований об устранении нарушений в области персональных данных участникам отношений. Как видим, в своих внутренних документах они даже не рассчитывают на эффективность средств защиты своей собственной системы!

В связи с вышеизложенным просим принять все возможные меры для отклонения проекта приказа Роскомнадзора «Об утверждении Правил использования информационной системы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций», который представляет угрозу правам и свободам граждан Российской Федерации и их безопасности.


Источник: m.vk.com

Комментарии: