|
Library
|
Your profile |
This work is licensed under a Creative Commons Attribution-NonCommercial 4.0 International License.|
National Security
Reference:
Gulemin A.N.
Provision of security of the Unified Federal Information Register Containing Data on the Population of the Russian Federation
// National Security.
2020. № 6.
P. 10-18.
DOI: 10.7256/2454-0668.2020.6.34670 URL: https://en.nbpublish.com/library_read_article.php?id=34670
Provision of security of the Unified Federal Information Register Containing Data on the Population of the Russian Federation
DOI: 10.7256/2454-0668.2020.6.34670Received: 14-12-2020Published: 21-12-2020Abstract: The object of this research is the public relations with regards to processing of information in the Unified Federal Information Register Containing Data on the Population of the Russian Federation n. Besides the Federal Law “On the Unified Federal Information Register Containing Data on the Population of the Russian Federation”, the subject of this research is legislation in the area of personal data and legislation on the critical information infrastructure. Based on the main formal and substantive aspects, the author defines the indicated register as a variety of register-based information; substantiates the relevance of application of the principles of framework regulation of information law in the context of creating the register; raises the question on the need to recognize the information system that processes data contained in the register as a valuable object of critical information infrastructure. The novelty of this research consists in the fact that this article is one of the first works dedicated to provision of legal security of the Unified Federal Information Register Containing Data on the Population of the Russian Federation. The following conclusions and proposals on improvement of legislation are formulated: 1) The principles of legal regulation established by legislation with regards to information as the object of legal regulation should be applied to the created register; any unauthorized actions with a separate register entry should be viewed as violation of integrity of the entire object. 2) Due to critical importance of the data contained in the register, it is essential to set confidentiality restrictions, and recognize the federal nformation system that processes data contained in the register as a valuable object of critical information infrastructure. 3) In the text of the Law “On the Unified Federal Information Register Containing Data on the Population of the Russian Federation”, it is necessary to specify the responsibilities of operator of the federal information system who maintains the federal register and compliance with the requirements of legislation on the security of critical information infrastructure. It is also necessary to clarify the provisions of the Decree of the Government of the Russian Federation that establishes a list of criteria of importance of the objects of critical information infrastructure of the Russian Federation and their value. Keywords: state information system, personal data, critical information infrastructure, register, registry information, information system operator, protection of information, information law, information legislation, privacy modeThis article written in Russian. You can find original text of the article here . 1. Обоснование актуальности проблемы. Развитие информационно-коммуникационных технологий, их повсеместное внедрение во все сферы человеческой деятельности уже давно и очевидно свидетельствуют о необходимости развития правового обеспечения безопасности в цифровом пространстве и усилении мер, направленных на защиту конфиденциальности особо важных сведений о жизни и деятельности личности, общества и государства, от внешних и внутренних угроз и сохранение их целостности. Меры, принимаемые государством на федеральном уровне и на уровне субъектов федерации в целях борьбы с распространением новой коронавирусной инфекции, помимо всего прочего, также включали в себя обработку большого количества данных о гражданах в информационно-коммуникационной среде. Заявляемые в СМИ факты незаконного обнародования и распространения баз данных, содержащих персональные данные о заболевших [1] в очередной раз поднимают вопрос о необходимости усиления государственного контроля за сбором и обработкой подобного рода сведений. В июне 2020 года Президентом РФ подписан Федеральный Закон «О едином федеральном информационном регистре, содержащем сведения о населении Российской Федерации» [2], целью которого является создание регистра данных (далее – Единый федеральный информационный регистр), сформированных на основе сведений о гражданах Российской Федерации, об иностранных гражданах и лицах без гражданства, которые содержатся в государственных информационных системах органов государственной власти Российской Федерации, органов управления государственными внебюджетными фондами. Принятие закона логически служит достижению цели государства, направленной на совершенствование системы управления и перевод исполнения государственных функций и оказания всех публичных услуг в электронную форму. Вместе с тем принятие закона на теоретическом уровне обнажает необходимость выявления роли, места и значения правового института реестровой информации в системе права, механизмов повышения эффективности и совершенствования системы информационного законодательства о реестровой информации. Федеральным законом «О безопасности критической информационной инфраструктуры Российской Федерации» [3] вводится понятие критической информационной инфраструктуры (далее – КИИ) как совокупности информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, а также сетей электросвязи, используемых для организации взаимодействия указанных элементов в наиболее важных областях деятельности государства и российских юридических лиц и индивидуальных предпринимателей. К таким областям закон относит здравоохранение, науку, транспорт, связь, энергетику, банковскую сферу и иные сферы финансового рынка, топливно-энергетический комплекс, атомную энергетику, оборонную, ракетно-космическую, горнодобывающую, металлургическую и химическую промышленность. Основанием для отнесения объектов к КИИ является их особая важность для функционирования государства и общества, а причинение им «ущерба может привести к разрушающим и необратимым последствиям для их защищенности, а исходя из того, что КИИ выступает связующим звеном между другими областями национальной инфраструктуры, это неизбежно приведет к негативным для них последствиям» [4]. Стоит признать, что в цифровую эпоху незаконные действия с персональными данными также могут привести к негативным последствиям для функционировании всех областей общественной деятельности, а по тяжести причиненного вреда субъектам персональных данных могут быть сравнимы с причинением вреда объектам КИИ.
2. Единый федеральный информационный регистр в системе реестровой информации. До настоящего времени в науке и практике не сложилось единого понимания реестровой информации. Использование в нормативных актах разных понятий, которые, по сути, определяют один и тот же информационный ресурс (реестр, регистр, кадастр и т.п.) может быть охарактеризовано как «некий хаос множества, беспорядочность и терминологическая пестрота. Анализ нормативных правовых актов, регулирующих порядок создания и ведения списочных массивов информации, свидетельствует об отсутствии единообразия в выборе их наименований» [5]. Теоретический анализ указанных выше понятий позволяет сформулировать их основные формальные и содержательные признаки, к которым можно отнести: - информационную природу этих объектов. Все они являются совокупностью информации, соответственно при осуществлении информационных процессов в отношении них (сбора, обработки, накопления, хранения, поиска, распространения и т.д.) должны применяться принципы правового регулирования, установленные в отношении информации ФЗ «Об информации, информационных технологиях и о защите информации» [6]; - информация в указанных объектах обладает признаком массивности. В них содержится совокупность учетных сведений (записей) в достаточно большом объеме и любые несанкционированные действия с отдельной записью (модификация, уничтожение, копирование и т.п.) являются нарушением целостности всего объекта и, соответственно, могут повлечь установленную законом ответственность; - любой такой объект представляет собой систематизированную, особым образом упорядоченную, совокупность данных, имеющую особую структуру, облегчающую выполнение задач, для решения которых он создан; - списочный массив информации в этих объектах обусловлен особой – учетной (регистрационной) формой государственного управления. Несмотря на небольшое количество научных исследований в науке информационного права сложилось понятие реестровая информация (реестр) отвечающее указанным выше признакам, к разновидностям которой относятся, собственно, реестры, регистры, классификаторы, номенклатуры и иные систематизированные массивы информации, имеющие значение для осуществления процессов управления. Таковым должен быть признан и Единый федеральный информационный регистр. Анализ федерального закона в силу отсутствия в действующем законодательстве понятия «информационный ресурс» позволяет определить этот регистр как базу данных, обрабатываемую с использованием информационных технологий и технических средств, то есть как элемент информационной системы. Научные исследования выделяют два вида реестров: «1) имеющих правоустанавливающее и учетное значение; 2) имеющих исключительно учетное значение. При этом единые государственные реестры, которые являются объектами уголовно-правовой охраны в соответствии с уголовным законодательством Российской Федерации, все без исключения относятся к первому виду» [7]. Анализируя закрепленные в законе цели формирования ведения и использования федерального регистра сведений о населении можно признать, что хотя сам по себе факт внесения записи о физическом лице в регистр не будет непосредственно порождать, изменять либо прекращать правоотношения, само включение (изменение) сведений в него будет иметь значение юридического факта (являться завершающим элементом сложного юридического состава), которому предшествует индивидуально-правовой акт уполномоченного органа, вынесенный в отношении конкретного субъекта. И в силу особой значимости сведений, содержащихся в регистре, установлении в отношении них режима конфиденциальности, следует признать обязательность их правовой охраны.
В системе информационного законодательства, из-за отсутствия кодифицированного акта, принято выделять базовые и специальные законы. Базовые законы определяют с помощью основных положений нормативный правовой климат правового обеспечения для всей информационной сферы человеческой деятельности в целом, а специальные направлены на правовое регулирование отдельных областей информационной деятельности и установление правового режима отдельных видов информации [8]. Сведения и идентификаторы, включенные в Единый федеральный информационный регистр относятся к категории персональных данных, следовательно, их обработка должна осуществляться не только в соответствии с принципами, указанными в ФЗ «О едином федеральном информационном регистре, содержащем сведения о населении Российской Федерации», но и обеспечивать соблюдение принципов, закрепленных в базовых законах ФЗ «Об информации, информационных технологиях и о защите информации» и ФЗ «О персональных данных» [9]. Не имея задачи составить список принципов, закрепленных в указанных правовых актах, которые, тем не менее, должны относиться к порядку обработки данных в Едином федеральном информационном регистре, следует, однако, остановиться на одном из них, используемом критиками ФЗ «О едином федеральном информационном регистре, содержащем сведения о населении Российской Федерации». Так Федеральным Законом «О персональных данных» не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой, содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки (ст. 5). Анализ статьи 4 ФЗ «О едином федеральном информационном регистре…» тем не менее, позволяет признать, что данный принцип был соблюден указанием цели «создания системы учета сведений о населении Российской Федерации, обеспечивающей их актуальность и достоверность» для исполнения определенного перечня государственных функций, направленных в первую очередь на предоставление государственных и муниципальных услуг и выполнение государственных и муниципальных функций, в том числе в электронной форме. Вместе с тем опасения критиков о возможности нарушения целостности регистра, его возможном хищении и незаконном распространении, недостаточности правовых способов обеспечения информационной безопасности регистра, безусловно, должны быть учтены законодателем, в том числе путем отнесения регистра к объектам критической информационной инфраструктуры и установлением дополнительных мер ответственности за неправомерные действия с ним.
3. Единый федеральный информационный регистр как элемент критической информационной инфраструктуры. Российский законодатель, устанавливая в ст. 9 ФЗ «Об информации, информационных технологиях и о защите информации» виды информации ограниченного доступа выделил логически три группы конфиденциальной информации – государственную тайну, иные виды тайн и персональные данные. В силу установления закона в отношении персональных данных определен расширенный перечень исключений, когда доступ к ним возможен без согласия самого субъекта персональных данных, в частности без согласия субъекта возможна их обработка для осуществления и выполнения возложенных законодательством РФ на оператора персональных данных функций, полномочий и обязанностей, для достижения общественно значимых целей, в порядке и на условиях, предусмотренных иными законодательными актами [10]. Предполагается, что разглашение персональных данных не может принести такого ущерба безопасности, как разглашение коммерческой или государственной тайны. Общественное мнение также зачастую расценивает противоправные действия с персональными данными как нечто незначительное. Но что делать, когда под угрозу поставлена конфиденциальность не одного субъекта, а группы лиц? Так, по оценкам Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России за 2018 год из-за утечек персональных данных клиентов только кредитные организации понесли ущерб в более чем 2 млрд. рублей [11]. Кроме того, объектом множества киберпреступлений с использованием вредоносных программ, а также специфических возможностей операционных систем, позволяющих получить удаленный доступ к информационным ресурсам становится информация, содержащаяся в государственных информационных системах [12]. И если банковская сфера в настоящее время понимает значимость ущерба, причиняемого разглашением персональных данных, в других сферах – здравоохранения, образования, социальной – пока такого не наблюдается. Единый федеральный информационный регистр, будет собирать 10 видов сведений о физическом лице и 14 видов идентификаторов о нем, получая информацию из различных баз данных органов государственной власти. Несанкционированное обнародование таких сведений может, безусловно, привести как к материальному, так и моральному ущербу. Персональные данные граждан, обрабатываемые в государственных информационных системах «требуют особой нормативной и технологической защиты» [13]. Одним из способов контроля соблюдения конфиденциальности данных регистра видится отнесение его к объектам критической информационной инфраструктуры и, как следствие, установление повышенных требований к оператору регистра в отношении защиты от компьютерных инцидентов и компьютерных атак. Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» и принятые в соответствии с ним подзаконные акты, определяя правила категорирования объектов КИИ, порядок ведения реестра значимых объектов КИИ, вместе с тем не устанавливают четкие положения по отнесению той или иной организации к субъектам КИИ, зачастую оставляя это на усмотрение самих субъектов. Вследствие этого видится необходимым внести изменения в п.3 ч.5 ст.9 ФЗ «О едином федеральном информационном регистре, содержащем сведения о населении Российской Федерации» и изложить его в следующей редакции: «5. Оператор государственной информационной системы осуществляет:… 3) защиту сведений, содержащихся в федеральном регистре сведений о населении, в соответствии с требованиями настоящего Федерального закона, законодательства Российской Федерации об информации, информационных технологиях и о защите информации, законодательства Российской Федерации в области персональных данных, законодательства о безопасности критической информационной инфраструктуры, законодательства Российской Федерации о государственной и иной охраняемой законом тайне при их обработке в государственной информационной системе» Такое закрепление позволит однозначно отнести информационную систему, содержащую регистр, к объектам КИИ и распространить на субъекта – оператора Единого федеральный информационный регистра – обязанности, закрепленные в ст. 9 ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» в том числе в части незамедлительного реагирования и информирования о компьютерных инцидентах в системе, соблюдения требований по обеспечению безопасности значимых объектов КИИ и выполнения предписаний об устранении нарушений. Закон «О безопасности критической информационной инфраструктуры Российской Федерации» предусмотрел категорирование объектов КИИ в зависимости от, в том числе, их социальной значимости, выражающейся в оценке возможного ущерба, причиняемого жизни или здоровью людей, а также максимальном времени отсутствия доступа к государственной услуге для получателей такой услуги. Во исполнение этого положения Правительством РФ принято Постановление [14], определяющее перечень показателей критериев значимости объектов КИИ и их значений. Устанавливаются три категории значимости объектов критической информационной инфраструктуры, причем субъекты КИИ самостоятельно определяют категорию значимости принадлежащим им объектам КИИ, а в случае если объект КИИ не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий. Несанкционированная модификация или уничтожение, находящихся в Едином федеральном информационном регистре персональных данных может повлечь сбой в предоставлении государственной или муниципальной услуги (показатель I.5 перечня – Социальная значимость. Отсутствие доступа к государственной услуге). Однако само по себе несанкционированное копирование (и как следствие их разглашение) сведений из регистра, не нарушающее его целостности, также может повлечь значимые негативные последствия, как для физических лиц, так и для государства в целом. Видится необходимым дополнить перечень показателей критериев значимости пунктом, оценивающим причинение нематериального ущерба, вызванного разглашением персональных данных в зависимости от объема незаконно полученных из регистра сведений.
4. Выводы. 1) Создаваемый единый федеральный информационный регистр, содержащий сведения о населении РФ является базой данных по смыслу гражданского законодательства и разновидностью реестровой информации по смыслу информационного права. К регистру должны применяться принципы правового регулирования, установленные законодательством в отношении информации как объекта правового регулирования, а любые несанкционированные действия с отдельной записью регистра следует расценивать как нарушение целостности всего объекта. 2) Сама по себе необходимость описания нового создаваемого регистра исключительно в рамках теоретических концептов в очередной раз поднимает вопрос о необходимости принятия единого правового акта, регулирующего порядок создания и использования информационных ресурсов, содержащих реестровую информацию, унифицирующего понятия и виды реестровой информации, общие требования к их ведению и правовой режим их использования. 3) В силу особой важности сведений, содержащихся в создаваемом регистре, обязательно установление режима конфиденциальности в отношении самих сведений и признание государственной информационной системы, в которой обрабатываются сведения, включенные в регистр, значимым объектом критической информационной инфраструктуры, нарушение целостности которого может привести к негативным социальным последствиям. 4) Видится необходимым уточнение в тексте закона «О едином федеральном информационном регистре, содержащем сведения о населении Российской Федерации» обязанности оператора государственной информационной системы, ведущего федеральный регистр, соблюдать требования законодательства о безопасности критической информационной инфраструктуры. А также дополнение перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений пунктом, оценивающим причинение нематериального ущерба, вызванного разглашением персональных данных в зависимости от объема незаконно полученных из регистра сведений. References
1. Napr. «Infektsiya s personal'nymi oslozhneniyami. V Set' popali lichnye dannye moskvichei, perebolevshikh COVID-19» / Gazeta RBK. № 110. 10.12.2020 — URL: https://www.rbc.ru/newspaper/2020/12/10/5fd0c9fb9a7947576ce3936b (data obrashcheniya: 18.12.2020).
2. O edinom federal'nom informatsionnom registre, soderzhashchem svedeniya o naselenii Rossiiskoi Federatsii: Federal'nyi zakon ot 08.06.2020 № 168-FZ // Rossiiskaya gazeta, 11.06.2020, № 126 3. O bezopasnosti kriticheskoi informatsionnoi infrastruktury Rossiiskoi Federatsii: Federal'nyi zakon ot 26.07.2017 № 187-FZ // Rossiiskaya gazeta, 31.07.2017, № 167 4. Truntsevskii Yu.V. Nepravomernoe vozdeistvie na kriticheskuyu informatsionnuyu infrastrukturu: ugolovnaya otvetstvennost' ee vladel'tsev i ekspluatantov // Zhurnal rossiiskogo prava. 2019. № 5. S. 99-106. 5. Antonova E.E. Pravovoe regulirovanie formirovaniya i ispol'zovaniya reestrovoi informatsii: diss. na soiskanie uch. st. kandidata yuridicheskikh nauk: spetsial'nost' 12.00.14 / «Ural'skaya gosudarstvennaya yuridicheskaya akademiya».-Ekaterinburg, 2012. 6. Ob informatsii, informatsionnykh tekhnologiyakh i o zashchite informatsii: Federal'nyi zakon ot 27.07.2006 № 149-FZ (red. ot 08.06.2020) // Rossiiskaya gazeta, 29.07.2006, № 165 7. Channov S.E. Reestr i informatsionnaya sistema: sootnoshenie ponyatii // Informatsionnoe pravo. 2017. N 3. S. 4-10. 8. Kuznetsov P.U. Informatsionnoe zakonodatel'stvo kak bazovyi komponent obrazovatel'nogo protsessa // Informatsionnoe pravo. 2016. N 2. S. 38-42. 9. O personal'nykh dannykh: Federal'nyi zakon ot 27.07.2006 № 152-FZ (red. ot 24.04.2020) // Rossiiskaya gazeta, 29.07.2006, № 165 10. O personal'nykh dannykh: Federal'nyi zakon. st. 6 11. TsB vpervye raskryl masshtab prodazh personal'nykh dannykh rossiyan / Gazeta RBK 10.10.2019. — URL: https://www.rbc.ru/finances/10/10/2019/5d9e05ce9a79474c70839c73 (data obrashcheniya: 18.12.2020). 12. Sukharenko A.N. Zakonodatel'noe obespechenie informatsionnoi bezopasnosti v Rossii // Rossiiskaya yustitsiya. 2018. N 2. S. 2-5. 13. Popova N.F. Neobkhodimost' tsifrovizatsii gosudarstvennogo upravleniya v RF // Administrativnoe pravo i protsess. 2020. N 2. S. 48-53. 14. Ob utverzhdenii Pravil kategorirovaniya ob''ektov kriticheskoi informatsionnoi infrastruktury Rossiiskoi Federatsii, a takzhe perechnya pokazatelei kriteriev znachimosti ob''ektov kriticheskoi informatsionnoi infrastruktury Rossiiskoi Federatsii i ikh znachenii: Postanovlenie Pravitel'stva RF ot 08.02.2018 № 127 (red. ot 13.04.2019) // Ofitsial'nyi internet-portal pravovoi informatsii http://www.pravo.gov.ru, 13.02.201 |
© 1998 – 2024 Nota Bene. Publishing Technologies. NB-Media Ltd.
Eng
