О правовых принципах разработки государственных АИС, обрабатывающих персональные данные
(Амелин Р. В.) («Информационное право», 2009, N 2)
О ПРАВОВЫХ ПРИНЦИПАХ РАЗРАБОТКИ ГОСУДАРСТВЕННЫХ АИС, ОБРАБАТЫВАЮЩИХ ПЕРСОНАЛЬНЫЕ ДАННЫЕ
Р. В. АМЕЛИН
Амелин Р. В., заместитель заведующего кафедрой прикладной информатики механико-математического факультета Саратовского государственного университета им. Н. Г. Чернышевского.
В статье рассматривается проблема массовой утечки персональных данных из автоматизированных информационных систем в сфере государственного и муниципального управления. Предлагается вариант решения этой проблемы, предполагающий исключение технической возможности такой утечки правовыми методами на этапе проектирования системы. К основным правам человека и гражданина, гарантированным ему Конституцией и рядом международных договоров, относится в том числе и право на тайну частной жизни. В настоящее время право на тайну частной жизни испытывает серьезные угрозы, связанные, с одной стороны, со все возрастающими возможностями автоматизированных информационных систем (АИС) и их внедрением практически во все сферы человеческой деятельности, а с другой стороны, с тенденцией, которую отметил в своем докладе независимый наблюдатель по вопросам конфиденциальности «Privacy International». Она заключается в том, что в последние годы парламенты различных стран мира приняли законы, «призванные всесторонне увеличить для правительств количество информации о личной жизни почти всех граждан и жителей» <1>. Это хорошо иллюстрирует вызвавший неоднозначную реакцию общественности Приказ Министерства информационных технологий и связи РФ от 16 января 2008 г. N 6 «Об утверждении требований к сетям электросвязи для проведения оперативно-розыскных мероприятий», в котором заложена основа практически бесконтрольного удаленного прослушивания спецслужбами абонентов связи. ——————————— <1> Security Concerns, Technological Advances Threaten Privacy By Joan Delaney. Epoch Times Victoria Staff Jan 17, 2008. URL: http://en. epochtimes. com/news/8-1-17/64198.html.
Применительно к АИС проблема обеспечения права на тайну частной жизни трансформируется в проблему конфиденциальности персональных данных, которые хранятся и обрабатываются в этих системах. Персональными данными (в соответствии с ФЗ «О персональных данных») является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. На защиту персональных данных направлен ряд принятых в последнее время нормативно-правовых актов начиная с Федерального закона «О персональных данных» и заканчивая относительно недавними Постановлением от 17 ноября 2008 г. N 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», Постановлением от 15 сентября 2008 г. N 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановлением от 6 июля 2008 г. N 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных». Но, несмотря на то что отечественное законодательство в области защиты персональных данных постоянно пополняется, практика показывает его абсолютную неэффективность при сложившейся системе общественных отношений в стране и в мире. На черном рынке продаются базы данных налогоплательщиков (с указанием доходов и объектов налогообложения), ВИЧ-инфицированных и наркоманов, абонентов сотовых сетей (с указанием телефонных номеров), водительских удостоверений. Практически по всем сферам деятельности имеются обновления от 2009 г. В марте 2008 г. заработал сайт www. radarix. com, предлагающий «подробную информацию по всем жителям России, Украины и СНГ», включающую «телефоны, автотранспорт, адреса, юридические лица, налоги, недвижимость, криминал» <2>. Через сайт http://infosalebd. ru продаются свежие таможенные базы и базы по внешнеэкономическим сделкам. ——————————— <2> В настоящее время домен www. radarix. com закрыт, функционирует сайт www. radarix. biz, предлагающий платную услугу поиска людей по общедоступным базам данных.
Наиболее актуальные проблемы сегодняшнего дня в сфере обеспечения права на тайну частной жизни кроются, на наш взгляд, в области разработки и применения АИС для сферы государственного управления. Специфика таких АИС обусловлена повышенной общественной опасностью нарушения конфиденциальности (утечки) персональных данных, которые хранятся и обрабатываются в них, причем эта повышенная общественная опасность серьезно недооценивается отечественным законодателем. Такое деяние подпадает в сферу действия двух статей УК РФ: ст. 147 и ст. 272. Но ст. 147 УК РФ относит незаконное собирание или распространение сведений о частной жизни лица к преступлениям небольшой тяжести. А несанкционированный доступ к компьютерной информации (в данном случае речь идет о похищении базы персональных данных из государственной АИС) относится к преступлениям с наиболее высокой латентностью. Практически ни в одном случае серьезной утечки персональных данных из государственных АИС виновные не были привлечены к ответственности. Следует отметить, что отечественное законодательство недооценивает также высокий уровень коррупции в исполнительных органах Российской Федерации. Так, положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных направлено на защиту от лиц, внешних по отношению к системе, и слабо затрагивает ее непосредственных пользователей — сотрудников исполнительных органов. Для исследования общественной опасности утечки персональных данных из АИС в сфере государственного управления рассмотрим два возможных последствия таких утечек. Первое из них — предложение баз данных на черном рынке — представляет собой достаточно известное и широко обсуждаемое явление. Общественная опасность обусловливается массовостью нарушений прав человека, поскольку пострадавшим является каждый, сведения о ком были преданы огласке. Так, в марте 2007 г. в продаже оказалась база данных о ВИЧ-инфицированных жителях Тольятти, содержащая 7338 фамилий с адресами. Базы данных объектов недвижимости и налоговых платежей затрагивают права и законные интересы на порядок большего числа людей. Но более серьезную опасность представляет, на наш взгляд, второй вариант преступного деяния, связанного с нарушением конфиденциальности персональных данных. Он связан с тенденцией интеграции государственных АИС и слияния государственных баз данных. Интеграция государственных информационных систем и ресурсов, обеспечение эффективного межведомственного и межрегионального информационного обмена присутствуют в стратегии развития информационного общества в РФ <3> как задачи, решение которых необходимо для «повышения эффективности государственного управления и местного самоуправления, взаимодействия гражданского общества и бизнеса с органами государственной власти». Это необратимый, закономерный и действительно обоснованный с точки зрения экономической целесообразности процесс. Но нельзя недооценивать возникающие при этом угрозы. ——————————— <3> Стратегия развития информационного общества в Российской Федерации от 7 февраля 2008 г. N Пр-212.
Лицо, имеющее доступ к АИС (например, коррумпированный сотрудник исполнительных органов), может получить исчерпывающую информацию о конкретном интересующем его человеке. В отличие от первого случая, когда общественная опасность выражается в степени охвата незаконно полученной информации, здесь общественная опасность выражается в степени полноты информации. Исчерпывающую информацию о человеке легко использовать в целях шантажа, оказания давления на политического оппонента, «кражи личности» и т. д. При этом степень латентности такого преступления возрастает в разы, поскольку на прилавках лотков не появятся базы данных, свидетельствующие о факте утечки информации. Конечно же, ничего невозможного нет и в массовой утечке всей интегрированной БД. Возможность такой утечки серьезно угрожает не только правам и законным интересам огромного числа людей, но и национальной безопасности РФ в целом. Между тем на сайте www. radarix. com уже предлагались взаимосвязанные данные о гражданах. По сообщениям прессы, «кроме номеров телефонов и адресов, пользователям предлагалось ознакомиться с тем, есть ли у человека судимость, были ли у него приводы в милицию, брал ли он в банке кредиты» <4>. ——————————— <4> Красилова Н. Загадка панамского сайта. В Интернете появилась подробная база данных обо всех гражданах РФ // Новые Известия. 2008. 24 марта.
Описанная проблема, на наш взгляд, может быть решена только посредством изменения законодательного подхода к разработке и использованию АИС в сфере государственного управления. В настоящее время процесс разработки государственных АИС носит следующий характер. Сначала исполнительные органы власти принимают решение о разработке системы, необходимой для решения определенных задач, и объявляют конкурс на создание такой системы. Условия конкурса, как правило, включают техническое задание (ТЗ). При этом такое ТЗ не проходит экспертизу на предмет того, насколько внедрение АИС, созданной в рамках данного задания, может угрожать правам и законным интересам граждан. Зачастую ТЗ составлено достаточно поверхностно и оставляет ряд важных деталей на усмотрение разработчиков. Основным критерием принятия решения о победителе конкурса часто является цена предложения. После того как система создана, разрабатывается нормативная база, регламентирующая использование этой системы. При этом даже если эта нормативная база учитывает возможные угрозы использования АИС (например, связанные с нарушением ее безопасности), описанный подход является, на наш взгляд, неоправданным. Вместо того чтобы допускать создание систем, имеющих потенциально опасные возможности, а затем пытаться нейтрализовать их посредством правовых механизмов, следует направить законотворческие усилия на запрет этих возможностей на этапе создания системы. Такой подход тем более оправдан, что в большинстве случаев потенциально опасные возможности АИС не являются необходимыми для выполнения ее основных задач, а проистекают из-за трех причин: 1. Недостаточное понимание государственным заказчиком всех тонкостей и последствий технических решений, принимаемых во время разработки АИС. 2. Недостаточное понимание разработчиками всех тонкостей процессов государственного управления, для автоматизации которых создается АИС. 3. Отсутствие какого-либо общественного контроля качества ТЗ на разрабатываемую систему, качества проектной документации, предлагаемой исполнителем, качества самой системы (сертификация, которую проходят многие АИС после разработки, затрагивает, как правило, не все ее аспекты и обычно является закрытой). Рассмотрим государственные АИС, основной задачей которых является хранение и обработка персональных данных. Когда создается система для обработки данных в какой-то конкретной области (например, учет призывников, ВИЧ-инфицированных больных или паспортных данных), то основной, базовой возможностью такой системы оказывается запрос на выборку данных, удовлетворяющих определенному критерию. В частности, тривиально осуществляется выборка всех данных, которая впоследствии может являться объектом незаконного распространения (продажи). Когда несколько таких систем интегрируются в одну, базовой возможностью новой системы является получение исчерпывающей информации о конкретном лице. Между тем эти возможности вообще не должны присутствовать в системе. Возможность выборки всех данных (и даже выборка по критерию, которому удовлетворяет значительная — более 10% — часть данных) абсолютно бессмысленна, поскольку оператор АИС — лицо, принимающее решения, не сможет воспринять такое количество данных. Назначение системы — отвечать на конкретные запросы, и к основным ее возможностям относятся следующие (причем неважно, информация о каких объектах обрабатывается в системе: объекты недвижимости, индивидуальные предприниматели, налогоплательщики и т. д.): 1. Получение информации по конкретному объекту (естественно, информации, которая относится только к данной предметной области), причем основная функция системы — выдача подтверждения (например, о том, состоит ли данное лицо на наркологическом учете). 2. Получение обезличенной статистической информации: общее количество объектов, процент объектов, обладающих интересующими нас характеристиками, и т. д. 3. Выборка объектов, чьи значения определенной характеристики отличаются от предельно допустимой (т. е. призывники, не имеющие отсрочки и не призванные в срок, налогоплательщики, не уплатившие налог, ВИЧ-инфицированные, не проходящие постоянное наблюдение, и т. д.). Проблема в том, что программисты, разрабатывающие такую систему на основе недостаточно проработанного технического задания, кладут в ее основу традиционную базу данных и включают стандартную функцию любой СУБД (системы управления базами данных): выборка всей хранящейся в системе информации (которую можно скопировать, распечатать и т. д.). Что касается интегрированных систем, ведущих учет самой разнообразной информации, то возможность получить исчерпывающую информацию о конкретном лице должна быть исключена в принципе (даже если в самой системе эта информация хранится), поскольку наличие такой функции представляет практически неустранимую угрозу конституционно гарантированному праву каждого человека на тайну частной жизни. Перечень возможностей АИС должен определяться ее назначением и ни в коем случае не выходить за его рамки, а регулироваться данное условие должно на каждом этапе ее разработки, начиная с технического задания. Исключение могут составлять только системы, используемые правоохранительными органами в целях расследования и предотвращения преступлений, обеспечения национальной безопасности и т. д. В некоторых случаях получение различных взаимосвязанных данных о лице может быть оправданно. Однако при этом действует ограничивающий принцип: действия исполнительной власти, ограничивающие право на тайну частной жизни, должны быть санкционированы судебной властью. Этот принцип полностью обходится (либо работает неэффективно) в условиях применения современных информационных технологий. Идеальным вариантом было бы применение адекватных технических и программных средств (теоретическая база для создания которых давно разработана в рамках криптографии). Например, когда у АИС запрашиваются данные, составляющие тайну частной жизни, она должна требовать электронного подтверждения, которое может быть создано только другой системой, используемой судебными органами. Здесь можно прояснить некоторые вопросы как юридического, так и технического характера. Во-первых, АИС, обрабатывающая данные персонального характера, принципиально не должна быть доступна локально никому из ее пользователей: ядро системы (серверная часть) и вся ее база данных должны функционировать на надежно защищенном удаленном компьютере-сервере (при этом сведения, хранящиеся в БД, имеют статус служебной либо государственной тайны), а ее пользователи (сотрудники различных исполнительных органов) используют только программу-клиент, которая по сети обращается к серверной части с запросами (ограничения на диапазон возможных запросов обсуждались выше). Для идентификации пользователей системы необходимо использовать технический и правовой механизм электронной цифровой подписи. То есть для выдачи информации пользователю система должна получить запрос, подписанный электронной цифровой подписью этого пользователя (а в тех случаях, когда на выдачу информации необходимо разрешение суда, — запрос, подписанный ЭЦП двух пользователей, в том числе судьи). Наиболее слабое место такой системы — закрытые ключи пользователей <5> (они могут быть похищены и использованы для подписания запроса). Однако на практике достаточно эффективно действует принцип подлинности ЭЦП: электронная подпись лица всегда считается подлинной, если лицо заблаговременно не сообщило о возможной компрометации (утечке) своего закрытого ключа. Соответственно сотрудник правоохранительных органов, чьей подписью подписан незаконный запрос к АИС, презумпциально считается его субъектом. Это стимулирует участников документооборота принимать меры к защите своих ключей и минимизирует опасность проникновения в систему. При этом каждый факт получения данных из системы и все подписанные запросы на выдачу информации хранятся в ее журнале аудита, по которому можно вовремя установить факт утечки данных. ——————————— <5> Только обладатель закрытого ключа может подписать документ (в данном случае запрос) электронной цифровой подписью; при этом закрытый ключ гарантированно идентифицирует автора запроса.
Но, подчеркнем, главным принципом при разработке АИС персональных данных должно являться отсутствие избыточных возможностей получения информации. Вывод, который мы делаем из всего вышесказанного, заключается в том, что законодатель должен обратить свое внимание на процесс создания АИС в сфере государственного (и муниципального) управления, частным случаем которых являются системы, обрабатывающие персональные данные. Необходимо принятие федерального закона, который регламентировал бы все стадии создания АИС, начиная от технического задания и заканчивая программным кодом, и обеспечивал бы должный контроль на каждой из этих стадий. Именно таким образом можно предотвратить появление в АИС возможностей (не являющихся необходимыми для решения основных задач), использование которых может привести к грубому или массовому нарушению прав и законных интересов граждан, в частности конституционно гарантированного права на тайну частной жизни.
——————————————————————