Регулирование / Статьи
персональные данные
20.2.2019

Граждане РФ смогут распоряжаться информацией о себе

Система управления согласием на обработку персональных данных может стать частью «Цифрового профиля»


В цифровом мире каждый человек постоянно сталкивается с необходимостью раскрывать личную информацию организациям, ведомствам и сервисам. Если исходить из принципа, что персональные данные (ПД) – это собственность гражданина, то важно дать ему возможность осознанно управлять ими и закрывать к ним доступ. Эта идея нашла отражение в заявлениях российских чиновников о необходимости разработки специальной системы, которая позволит управлять согласиями на обработку ПД. С помощью экспертов RSpectr разбирается в том, реально ли создать такую систему, каких расходов она потребует и есть ли у нее альтернативы.


Услуги в «один клик»

Система управления согласиями на обработку ПД заложена в концепции «Цифрового профиля гражданина» (ЦПГ). Этот проект должен упростить процесс взаимодействия между государством, бизнесом и пользователем. Создав профиль, гражданин сможет получать услуги (государственные, финансовые и т. д.), требующие предоставления достоверных персональных данных, в «один клик». Разработкой концепции занимался «Ростелеком» при поддержке Минкомсвязи и Центробанка в рамках национального проекта «Цифровая экономика».

Пресс-служба «Ростелекома»:

Каждый человек на протяжении всей жизни получает много документов (паспорт, СНИЛС, ИНН, трудовая книжка, свидетельство о браке, диплом об образовании). Цифровой профиль – информация из этих документов в электронном виде. Но не огромная база данных, а как бы связка ключей, которые нужны для получения услуги.
С цифровым профилем вы не только будете соглашаться на предоставление персональных данных, но и получите возможность отозвать их, когда перестанете пользоваться услугами. Это избавит от спама и лишней рекламы, позволит человеку управлять распространением данных о себе.

Предполагается, что, помимо сервиса по управлению согласиями, инфраструктура ЦПГ будет состоять из системы идентификации пользователя, записей из реестров ведомств и распределенной структуры данных, содержащей ссылки на эти записи.

Концепция ЦПГ уже в целом одобрена правительством, рассказал RSpectr Дмитрий Марков, директор по направлению «Информационная инфраструктура» АНО «Цифровая экономика». Уже в 2019 году планируется запустить мобильное приложение, в котором будут храниться цифровые согласия, то есть перечень ПД, к которым гражданин предоставил доступ для получения каких-либо услуг (например, оформления кредита онлайн без заполнения анкет и физического присутствия в банке). «Сумма, обозначенная в федеральном проекте «Информационная инфраструктура» на создание ЦПГ, – около 3 млрд руб. до 2021 года», – добавил Д. Марков.


Что нужно менять в законодательстве?

Для реализации ЦПГ будет разработан соответствующий законопроект, рассказал Д. Марков. В Минэкономразвития RSpectr сообщили, что в целом поддерживают его концепцию.

Но это не единственные изменения правовой базы, которые потребуются для создания системы управления согласием на обработку ПД.
Основатель и технический директор компании DeviceLock Ашот Оганесян считает, что

законодательство о персональных данных придется полностью перекраивать

И ключевой вопрос не во внесении согласий в создаваемую систему, а в механизме контроля за их наличием. По мнению эксперта, этот аспект является слабым местом и действующего закона № 152-ФЗ.

Ведущий консультант Центра информационной безопасности «Инфосистемы Джет» Александр Морковчин полагает, что создание такого портала – закономерный и логичный шаг, но слишком далекий от реализации: «Для того, чтобы что-то строить, необходимо заложить фундамент (законодательную базу), а с учетом скорости принятия поправок в 152-ФЗ «О персональных данных» это займет немало времени». Эксперт указал RSpectr на то, что

сейчас российское законодательство практически не регулирует область больших данных

И создавать систему управления согласиями нужно с тщательной проработки нормативной базы, поскольку пока неясно, как применять существующие нормы в отношении потребителей Big Data.

Есть и другая точка зрения. По мнению члена экспертного совета по цифровой экономике Госдумы РФ Никиты Куликова, для создания единого центра управления ПД не придется глобально менять действующее законодательство. «Можно ограничиться выпуском соответствующего НПА, регламентирующего хранение и работу с такими данными, так как в остальном такого рода система отвечает именно действующим принципам дачи согласия и работы с ПД», – пояснил он RSpectr.

Руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев отметил, что сейчас ФЗ-152 вообще не разделяет понятия цифровой или любой другой формы данных. Это вызывает ряд проблем, а зачастую делает невозможным выполнение законодательства техническими средствами. «Убежден, что, помимо ФЗ, юридическое поле пополнится большим количеством отраслевых приказов, регламентов и рекомендаций», – рассказал он RSpectr.

Отраслевое сообщество предлагает внести ряд изменений в ФЗ-152. Законопроект подготовил Фонд развития интернет-инициатив (ФРИИ). Директор по правовым вопросам организации Александра Орехович сообщила RSpectr, что документ призван сформировать правила игры на рынке персональных данных (ПД) и ответить на вопрос, кто является их владельцем. «Мы считаем, что гражданин – единственный источник данных. Отсюда вытекает идея того, что человек вправе самостоятельно распоряжаться доступом к своим ПД, в том числе на возмездной основе, а также получать исчерпывающую информацию (в том числе в цифровом виде) о том, как они используются».

Какие задачи придется решать:

• Пересмотреть нормативную базу отрасли.
• Определить правила игры в существующих «серых» зонах (например, Big Data).
• Увеличить скорость принятия подзаконных актов.
• Законодательно ужесточить контроль за деятельностью операторов ПД.


Есть ли техническая возможность запуска системы?

Уровень современных IT-технологий позволяет реализовать такой масштабный проект, считают эксперты. Но при этом следует учесть высокую нагрузку на систему, полагает А. Оганесян. В России более 80 млн пользователей интернета, каждый из них посещает за год тысячи сайтов и на сотнях из них вводит персональные данные, а также дает согласие на их обработку. «Если реестр будет только хранить и обновлять согласия, то это уже сотни запросов в секунду, а если еще и проверять их наличие при обработке данных, то запросов будут десятки тысяч. И ответы на них потребуются в режиме, близком к реальному времени, а не за 20-30 секунд, как дают, например, различные реестры, доступные через госуслуги», – уточнил эксперт.

А. Парфентьев в свою очередь уверен, что

речь идет о создании обычной электронной системы идентификационного документооборота, но на государственном уровне

Что касается обработки больших массивов информации, то для IT-корпораций (Facebook, Google, «ВКонтакте») это пройденный этап. «Даже трансграничная передача личных сведений у них реализована: практически любой сервис поддерживает сквозную авторизацию через аккаунт соцсети с согласия пользователя. Подробный отчет об истории передачи такой информации также имеется. Мы имеем дело не с принципиально новой технологией, а с повторением по большей части существующих, но на государственном уровне. Это сильно упрощает задачу», – заметил А. Парфентьев.

Какую задачу придется решать:

• Учесть объемы передаваемой информации при создании системы.


Хватит ли денег и на что они будут потрачены?

Затраты на весь проект ЦПГ заложены на уровне 3 млрд рублей. Какая часть из этих средств пойдет именно на систему управления согласиями – вопрос открытый. Эксперты уточнили, что стоимость реализации зависит от ряда факторов.

«Если ответственность за его внедрение и эксплуатацию будет возложена, к примеру, на Роскомнадзор, то затратная часть будет состоять только из организации удобной базы данных, по типу действующих CRM и более продвинутых ERP-систем. Нельзя также исключать и возможность применения технологии блокчейн. Таким образом, затраты будут состоять в основном из доработки системы до нужных параметров и организации ЦОДов», – рассуждает Н. Куликов. Если же будет принято решение создавать новое ответственное ведомство, то к этому бюджету следует добавить затраты на наем новых сотрудников, аренду площадей и иные административные затраты.

А. Парфентьев уточнил, что стек необходимых технологий будет зависеть от архитектуры реализации системы: будет это единый национальный дата-центр, к которому идет обращение из регионов, или, напротив, задачу хранения локализуют по регионам или даже конкретным подразделениям. Для получения биометрических данных потребуется закупать специализированное оборудование. Также нужно решить вопрос средств контроля достоверности и полноты внесенных сведений. «Статей расходов хватает: это и разработка ПО, и закупка нового оборудования, и увеличение штата технических специалистов, да и новые бизнес-процессы стоит учитывать», – отметил эксперт.

А. Оганесян подсчитал, что

если реестр будет создан в минимальной конфигурации и будет только хранить согласия, то 2-3 млрд рублей должно хватить

«Если же реализовать онлайн-проверки согласий при обработке данных, то стоимость вырастет как минимум до нескольких десятков миллиардов», – полагает эксперт.

Какие задачи придется решать:

• Определить архитектуру реализации системы.
• Разработать ПО.
• Закупить оборудование.
• Нанять технических специалистов.

***

Кроме изменений законодательства, расходов на проект и вопросов по технической части, эксперты обратили внимание на организационные моменты и защиту данных.

А. Морковчин отметил, что нужно определить процедуру регистрации операторов ПД. А. Парфентьев указал на риски безопасности, поскольку система будет содержать исчерпывающую информацию о любом гражданине.

Он также высказал мнение, что поскольку у сервиса не появится монополии на ПД, то к нему надо относиться не как к единой системе обработки данных, а как к очередному сервису с госучастием: «Обозначенный проект не имеет отношения ни к повышению уровня безопасности работы с данными, ни к увеличению роли владельца данных в распоряжении личной информацией. Он нацелен на эффективный обмен информацией между госструктурами и опциональную выдачу такой информации частным компаниям, подключившимся к проекту на добровольной основе».

Н. Куликов придерживается другой точки зрения: «Единая система, управляемая конкретным оператором и дающая возможность гражданам в любой момент модерировать уровень доступа к своим ПД, является наиболее предпочтительным вариантом».



Комментарий эксперта

Павел Патрикеев
руководитель юридического отдела хостинг-провайдера и регистратора доменов REG.RU

Краеугольный камень инициативы – создание единого ID для гражданина, механизм синхронизации единой системы аутентификации с порталами частных компаний, а также систематизация баз данных. Причем как коммерческих организаций, так и госорганов.

Государство будет реализовывать инициативу, основываясь на уже существующих технических средствах портала госуслуг. Создание полноценной системы потребует вовлечения многих министерств и аппарата правительства, а также большого количества правок во многие законы и нормативные акты.

Рассмотренная модель хорошо встраивается в политику государства по доработке уже существующих систем обмена межведомственной информацией и портала госуслуг, а потому, в рамках актуальной политики, любая альтернатива будет нежизнеспособной.

Оценка затрат на подобную инициативу зависит от прогнозируемых сроков реализации. Однако в вопросе пока нет ясности: сейчас можно встретить сообщения о том, что до 2022 года планируется израсходовать порядка 3 млрд бюджетных средств; учитывая масштаб инициативы, такая сумма видится несколько заниженной.

Проекты по созданию баз данных на уровне государства для более комфортного использования услуг уже существуют в некоторых зарубежных странах. В качестве яркого примера можно привести Швецию. Проект по созданию баз данных граждан в Сети существует в Китае. В Норвегии для доступа к большинству интернет-ресурсов требуется уникальный и универсальный идентификатора – мобильный номер пользователя.

Изображение: freepik.com


ЕЩЕ ПО ЭТОЙ ТЕМЕ:

Передача наказуема
Насколько выполнимы законопроекты по упорядочиванию оборота данных из ГИС?

Еще по теме

Что нужно знать родителям о влиянии искусственного интеллекта на детей

Как повлияет система обязательного страхования от утечек на операторов ПД

Каким стал профиль современных киберугроз

Готовы ли госкорпорации тратить из бюджетов не менее 70% на ПО-вендоров

Зачем операторам связи упростят доступ в многоквартирные дома

Как бизнес будет работать с биометрической информацией в новых условиях

Как попасть и не выпасть из реестра провайдеров хостинга

Какие меры безопасности примут провайдеры для борьбы с нелегальными доменами

ФСТЭК, НКЦКИ и Минцифры обозначили приоритеты в защите КИИ, госинформсистем и персональных данных

Почему безопасность «с пеленок» станет неотъемлемой частью всех киберсистем

Власти и участники телеком-рынка оценили перспективы защищенности суверенной информационной инфраструктуры

Что сейчас обсуждают специалисты по защите персональных данных

Почему компаниям не надо быть святее Папы Римского при защите персональной информации

Чего ожидать от нейросетей и как избежать необратимых последствий

Что нужно знать юристу, решившему работать в ИТ-компании