Аналитическая справка по законопроекту 992331-7

21 июля 2020 года в Государственную Думу РФ Правительство РФ внесло проект федерального закона № 992331-7 «О внесении изменений в Федеральный закон «О персональных данных» (в части уточнения порядка обработки персональных данных)» (https://sozd.duma.gov.ru/bill/992331-7). Ст. 1 ПФЗ предлагает п. 1 ч. 4 ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 30.12.2020) "О персональных данных", согласно которой согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, дополнить словами «или иной уникальный идентификатор субъекта персональных данных, устанавливаемый в соответствии с федеральными законами или соглашением сторон, позволяющий достоверно определить субъекта персональных данных и установить его волеизъявление». Данное нововведение сразу вызывает большую настороженность. Во-первых, само понятие некоего «уникального идентификатора субъекта персональных данных» отсутствует в действующем законодательстве РФ, а в самом законопроекте никак не расшифровывается. Одно это открывает широчайшую возможность для произвола, который может вылиться в навязывание гражданам нашей страны идентификатора любого типа, вплоть до вживляемого в человеческое тело электронного чипа или наносимого на тело иной метки. Поскольку этот уникальный идентификатор будет устанавливаться в соответствии с федеральными законами, это допускает предположение, что самих этих идентификаторов может быть несколько, каждый из которых будет регулироваться отдельным законом, что создаст дополнительную путаницу. Совершенно недопустимым является положение, что этот уникальный идентификатор будет устанавливаться не только в соответствии с федеральными законами, но и соглашением сторон, т.е. в гражданско-правовом порядке. Это позволит и частным структурам, от банков до торговых сетей, от ЖЭКов до работодателей, по своему желанию навязывать гражданам любые удобные этим структурам идентификаторы, что может превратить их клиентов или работников в абсолютно бесправных субъектов. О том, что именно такое широкое использование данного ПФЗ планируется, в своей пояснительной записке свидетельствуют сами авторы законопроекта, когда пытаются обосновать его необходимость: «Предлагаемое изменение является крайне актуальной общественной потребностью для построения цифровой среды доверия, в том числе для запуска новых инновационных сервисов и услуг, удаленного взаимодействия с клиентами, работниками, получения государственных услуг и прочее, а также позволит уменьшить количество согласий, предоставляемых субъектом персональных данных в письменной форме» (Пояснительная записка к проекту федерального закона "О внесении изменений в Федеральный закон "О персональных данных", л. 1). Итак, мы видим, что этим законопроектом, а, следовательно, и вводимым им уникальным идентификатором субъекта персональных данных, будет определять не только предоставление пресловутых государственных услуг, но и удаленное взаимодействие с клиентами и работниками. Из процитированного фрагмента следует, что это будет использоваться и для запуска неких новых инновационных сервисов и услуг, размер вторжения которых в частную жизнь граждан будет ограничиваться лишь пределом фантазии этих «инноваторов». Все это авторы ПФЗ именуют «построением цифровой среды доверия», лицемерно заявляя, что в ней якобы существует крайне актуальная общественная потребность. Надо полагать, что в древности рабовладельцы были честнее этих разработчиков и строили отношения со своими рабами на праве силы, не прибегая к лживым увещевания о необходимости построения «среды доверия».    Необходимо обратить внимание, что этот совершенно непонятный и произвольно устанавливаемый каким-то государственным ведомством, банком, продавцом или работодателем «уникальный идентификатор субъекта персональных данных» рассматриваемым законопроектом приравнивается к основному документу, удостоверяющему личность человека. Все это еще больше увеличивает возможность различных злоупотреблений и мошенничества.

Следует отметить, что этот фрагмент ПФЗ противоречит и Федеральному закону от 8 июня 2020 года № 168-ФЗ «О  едином федеральном информационном регистре, содержащем сведения о населении Российской Федерации». Ч. 2 статьи 7 этого ФЗ устанавливает, что в федеральный регистр сведений о населении включаются следующие идентификаторы:

а) записи акта о рождении;

б) записи акта о смерти;

в) документа, удостоверяющего личность физического лица, включая вид, номер и иные сведения о таком документе;

г) документов или отметок в документах, удостоверяющих личность, подтверждающих право иностранного гражданина и лица без гражданства на пребывание (проживание) в Российской Федерации;

д) сведений о регистрационном учете гражданина Российской Федерации и миграционном учете иностранного гражданина и лица без гражданства в Российской Федерации;

е) сведений о принятом решении по вопросам гражданства Российской Федерации;

ж) сведений о постановке на учет в налоговом органе, в том числе в качестве налогоплательщика налога на профессиональный доход;

з) сведений о регистрации физического лица в качестве индивидуального предпринимателя;

и) сведений о постановке на воинский учет граждан Российской Федерации, обязанных состоять на воинском учете;

к) сведений о регистрации в системах обязательного пенсионного, медицинского и социального страхования;

л) сведений о постановке на учет в органах службы занятости;

м) документа об образовании и (или) о квалификации, документа об обучении, включая виды, номера и иные сведения о таких документах, сведений о присуждении, лишении, восстановлении ученой степени, присвоении, лишении, восстановлении ученого звания;

н) учетной записи физического лица в федеральной государственной информационной системе "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме" (далее - единая система идентификации и аутентификации);

о) записей федерального регистра сведений о населении о физических лицах, являющихся родителями физического лица, супругом (супругой) физического лица, ребенком (детьми) физического лица.

Перечень этот исчерпывающий и никакого «уникального идентификатора субъекта персональных данных» в нем нет.

Не исключено, что само понятие «уникального идентификатора» было заимствовано авторами законопроекта из медицинской сферы, а именно из переведенного с английского Межгосударственного стандарта ГОСТ ISO/TS 22220—2013. В нем в частности говорится: «В данный раздел включены элементы данных, которые в совокупности образуют уникальный идентификатор субъекта медицинской помощи. В нем также даны характеристики идентификаторов субъекта. Одним из способов уникальной идентификации субъекта медицинской помощи является сочетание идентификатора субъекта медицинской помощи и организации здравоохранения, типа идентификатора и имени, присвоенного организацией идентификатору. Идентификатор субъекта медицинской помощи может также иметь следующие названия:

- идентификатор пациента (HL7);

- идентификатор физического лица;

- номер единичной записи (URN — unit record number);

- номер медицинской карты (MRN — medical record number);

- местный идентификатор субъекта;

- идентификационный номер субъекта;

- идентификатор, присвоенный учреждением;

- региональный идентификатор;

- идентификатор субъекта в провинции/штате/территории;

-уникальный идентификатор (UID — unique identifier);

-уникальный идентификатор в здравоохранении (UHID — unique health identifier)»

(Межгосударственный стандарт ГОСТ ISO/TS 22220—2013. М., 2015. с. 5-6).

Если это так, то сфера действия непонятного «уникального идентификатора субъекта персональных данных» может быть распространена и на сферу здравоохранения, что многократно повысит потенциальную опасность рассматриваемого ПФЗ.

Заключение комитета Государственной Думы по информационной политике, информационным технологиям и связи, размещенное на том же сайте, также содержит резкую критику предлагаемого нововведения: «Обращаем также внимание, что термин «иной уникальный идентификатор» носит с правовой позиции абсолютно неопределенный характер. Приравнивание проектом федерального закона «иного уникального идентификатора», устанавливаемого по соглашению сторон к фамилии, имени, отчеству, реквизитам документа, удостоверяющего личность, то есть к тем персональным данным, которые благодаря своей уникальной сущности позволяют установить субъекта персональных данных, повлечет возможность использования в качестве персональных данных любых сведений (логин в сети «Интернет», кодовый сигнал, любой внешний признак субъекта персональных данных и т.д.), что нивелирует саму суть и содержание института персональных данных и механизмов их защиты. Кроме того, по смыслу предлагаемой законопроектом нормы об «ином уникальном идентификаторе» фамилия, имя и отчество субъекта персональных данных относятся к идентификаторам, что не корректно не только с правовой позиции, но и, в первую очередь, с этической. В этой связи термин «иной уникальный идентификатор» требуется исключить из проекта федерального закона».

В своей пояснительной записке авторы законопроекта утверждают, что он разработан во исполнение подпункта «б» пункта 2 перечня поручений по реализации Послания Президента Российской Федерации Федеральному Собранию Российской Федерации от 15 января 2020 года № Пр-113 (Пояснительная записка к проекту федерального закона "О внесении изменений в Федеральный закон "О персональных данных", л. 1). Однако в этом подпункте Президент РФ поручил М.В. Мишустину и В.В. Володину «обеспечение регулирования оборота больших объёмов данных с учётом необходимости защиты прав и свобод человека и гражданина при обработке его персональных данных» (Перечень поручений по реализации Послания Президента Федеральному Собранию // http://kremlin.ru/acts/assignments/orders/62673). Однако рассматриваемый законопроект не только не способствует защите прав и свобод человека и гражданина при обработке его персональных данных, но и создает максимально благоприятные условия для их повсеместного нарушения и превращения человека в бесправного и несвободного индивида. В его тексте говорится лишь о защите информации, а не о защите прав и свобод человека. Это заявление разработчиков ПФЗ является откровенной ложью, призванной ввести депутатов в заблуждение.

Также ст. 1 законопроекта предусматривает изменение п. 4 ч. 4 ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 30.12.2020) "О персональных данных". Сейчас он говорит о том, что письменное согласие субъекта персональных данных на их обработку должно включать в себя цель обработки персональных данных. Авторы ПФЗ предлагают заменить это следующим текстом: «цель (цели) обработки персональных данных. В случае, если обработка персональных данных осуществляется в нескольких целях, в отношении каждой цели должны быть указаны сведения в соответствии с пунктами 5-8 настоящей части». Это нововведение следует рассматривать во взаимосвязи с предложенными ими новой редакции п. 6 этой же части: «наименование или фамилию, имя, отчество и адрес лица (лиц), осуществляющего (осуществляющих) обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу (таким лицам)». Действующая редакция ФЗ говорит лишь об одном лице. Понятно, что чем больше будет этих лиц, то тем больше будет вероятность утечки персональных данных либо злоупотребления ими. Формально увеличение целей обработки персональных данных и количества занимающихся ими лиц происходит с письменного согласия субъекта персональных данных, однако на практике это будет означать получение этого согласия в добровольно-принудительном порядке с использованием разнообразных способов давления. Подобная практика фактически нарушает статьи 23 и 24 Конституции РФ, гарантирующие каждому право на неприкосновенность частной жизни, личную и семейную тайну и не допускающие сбор, хранение, использование и распространение информации о частной жизни лица без его согласия. Поскольку право на неприкосновенность частной жизни относится к числу основных прав и свобод человека, оно является неотчуждаемым в силу ст. 17 Конституции РФ. Ее следующая статья определяет, что права и свободы человека и гражданина являются непосредственно действующими и определяют смысл, содержание и применение законов, деятельность законодательной и исполнительной власти. Здесь же мы видим, что неотчуждаемые права человека ставятся гораздо ниже интересов цифровизаторов. Согласно статье 9 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 30.12.2020) "О персональных данных" «субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе». Статья 3 Федерального закона от 27.07.2006 N 149-ФЗ (ред. от 30.12.2020) "Об информации, информационных технологиях и о защите информации" относит неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия к принципам правового регулирования отношений в сфере информации, информационных технологий и защиты информации. Все эти важные нормы права точно также нарушаются данным ПФЗ, поскольку полученное в добровольно-принудительном порядке согласия субъекта персональных данных не может быть свободным. Принятие этого законопроекта представляет непосредственную угрозу нарушения базовых конституционных прав.

Наконец, эту же ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 30.12.2020) "О персональных данных" хотят дополнить частью 9 следующего содержания: «Обработка персональных данных, обрабатываемых оператором на законных основаниях, может осуществляться им в дополнительных целях в случае наличия согласия субъекта персональных данных, содержащего информацию об указанных дополнительных целях, или в иных случаях, указанных в части 1 статьи 6 настоящего Федерального закона». Следует напомнить, что согласно последней статье ФЗ обработка персональных данных допускается не только с согласия субъекта персональных данных на обработку его персональных данных, но и в целом ряде других случаев, в частности:

• для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

• для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг;

• для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг;

• для повышения эффективности государственного или муниципального управления.

Итак, авторы законопроекта хотят на «законном» основании закрепить возможность получения согласия на обработку персональных данных сразу в нескольких различных целях, причем оператор может поручить это сразу несколькими лицами, в том числе в дополнительных целях, отличных от первоначальных целей сбора персональных данных, а также на основании части 1 статьи 6 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 30.12.2020) "О персональных данных", благодаря которой эти данные могут обрабатываться фактически бесконтрольно под любым благовидным предлогом от требований международного договора вплоть до интересов коллекторов, не говоря уже про интересы властей всех уровней. Предлагаемая авторами ПФЗ формулировка позволяет передавать для обработки персональные данные граждан Российской Федерации с их согласия любым лицам, в том числе и иностранцам, что представляет угрозу национальной безопасности Российской Федерации. Очевидно, что они всеми силами хотят обойти требования части 2 статьи 5 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 30.12.2020) "О персональных данных", согласно которой обработка этих данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Несмотря на все их ухищрения их законопроект находится в явном противоречии с ч. 3 данной статьи, которая четко и недвусмысленно определяет: «Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой». Подобный правовой беспредел создает максимально благоприятные условия для произвольного нарушения прав и свобод человека, которые авторы ПФЗ якобы хотят защитить. В своей пояснительной записке они сделали одно любопытное признание: «В случаях возникновения необходимости обработки персональных данных в дополнительных целях (отличных от первоначальных целей сбора) законопроектом предусмотрена возможность обработки таких данных при условии получении согласия субъекта персональных данных или в иных случаях, указанных в части 1 статьи 6 Закона о персональных данных, но без проведения процедур сбора персональных данных» (Пояснительная записка к проекту федерального закона "О внесении изменений в Федеральный закон "О персональных данных", л. 2). Итак, данные уже теперь собираются в таком количестве, что в случае возникновения новой цели обработки достаточно лишь получить на нее согласие субъекта персональных данных, а сами данные собирать уже не нужно.

Следует обратить внимание и на одно интересное место в пояснительной записке: «Законопроект направлен на обеспечение благоприятных правовых условий для сбора, хранения и обработки данных с использованием новых технологий, в части установления порядка обезличивания персональных данных, порядка получения согласия на обработку персональных данных, а также регулирования оборота больших объемов данных с учетом необходимости защиты прав и свобод человека и гражданина при обработке его персональных данных» (Пояснительная записка к проекту федерального закона "О внесении изменений в Федеральный закон "О персональных данных", л. 1). Итак, предполагается использование новых технологий для сбора, хранения и обработки персональных данных. Очевидно, что существующие технологии цифровизаторов уже не вполне устраивают. Какие же новые технологии имеются в виду: биометрические, генетические или какие-то иные? На этот вопрос нет ответа. Ясно только одно – достаточно только один раз дать свое согласие и человек попадает под плотный колпак тотальной слежки, который будет становиться все плотнее с изобретением новых технологий. Во-вторых, недвусмысленно заявлено об обороте больших объемов персональных данных. О том, что Правительство РФ собирается торговать по устанавливаемым им тарифам сведениями о гражданах и юридических лицах с использованием инфраструктуры цифрового профиля уже писалось при анализе проекта федерального закона № 747513-7 «О внесении изменений в отдельные законодательные акты (в части уточнения процедур идентификации и аутентификации)» (https://sozd.duma.gov.ru/bill/747513-7). Понятно, что и частные фирмы не упустят возможности сделать деньги из воздуха. Однако обработка этих больших объемов предполагает использование искусственного интеллекта, что как раз является новой технологией. Возникает вполне реальная угроза подчинения жизни людей искусственному интеллекту и тем лицам, которые этим интеллектом будут управлять.

Помимо этого авторы ПФЗ хотят часть 2 статьи 19 ФЗ дополнить пунктом 3.1, согласно которому для уничтожения персональных данных применяются средства защиты информации, в составе которых реализована функция уничтожения информации, прошедших в установленном порядке процедуру оценки соответствия, проведенную федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, или федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации. Однако в пункте 3 части 2 статьи 19 действующей редакции Федерального закона № 152-ФЗ к мерам по обеспечению безопасности персональных данных при их обработке уже отнесено применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации. С учетом этого непонятен смысл предлагаемого в ПФЗ пункта 3.1. В случае его принятия ФСБ России и ФСТЭК России будут наделены одним и тем же полномочием по оценке соответствия средств защиты информации, в составе которых реализована функция уничтожения информации, что приведет к дублированию их функций и потенциальной конкуренции между ними. Наконец, статью 23 ФЗ предлагается дополнить частью 10 следующего содержания: «Уполномоченный орган по защите прав субъектов персональных данных устанавливает требования к обезличиванию персональных данных и методы обезличивания персональных данных». Тем самым расширяются полномочия Федеральной службы по надзору в сфере связи, информационных технологий и массовых технологий, однако принимая во внимание, сколько реально она сделала для защиты прав субъектов персональных данных, особого улучшения прав граждан в этой связи ожидать не приходится. Обосновывая последнее нововведение, авторы законопроекта заявляют: «Регламентация требований и методов по обезличиванию персональных данных на уровне нормативного акта Роскомнадзора с учетом развития информационных технологий позволит оперативно вносить необходимые изменения и дополнения в существующую методологию обезличивания персональных данных» (Пояснительная записка к проекту федерального закона "О внесении изменений в Федеральный закон "О персональных данных", л. 2). Таким образом, все планируется отдать на откуп Роскомнадзора, который своими подзаконными актами сможет устанавливать любые требования к обезличиванию персональных данных и их методы.      

В связи с вышеизложенным просим принять все возможные меры для отклонения проекта федерального закона № 992331-7 «О внесении изменений в Федеральный закон «О персональных данных» (в части уточнения порядка обработки персональных данных)», который представляет угрозу правам и свободам граждан Российской Федерации и национальной безопасности.