В Госдуму внесен пакет поправок, касающихся цифрового профиля граждан и юрлиц
Законопроекты регулируют создание и функционирование систем цифрового профиля, включая идентификацию и аутентификацию, а также предусматривают меры по совершенствованию норм об электронной цифровой подписи
Эксперты «АГ» по-разному оценили поправки. Одна из них выразила опасение, что создание единой громоздкой системы данных повлечет ее уязвимость и новые риски для граждан. Другой эксперт считает, что использование цифрового профиля в гражданско-правовых отношениях вряд ли будет популярным. При этом он усомнился в необходимости всех предложенных изменений, касающихся электронной подписи. Третий эксперт, напротив, одобрила их.
5 июля группой сенаторов в Госдуму внесен пакет поправок в законодательство, регулирующее вопросы создания цифрового профиля граждан и юрлиц.
Предложения по регулированию цифрового профиля
Так, в пояснительной записке к проекту изменений, уточнящих процедуры идентификации и аутентификации (№ 747513-7), указано, что он разработан в соответствии с планом мероприятий по направлению «Нормативное регулирование» в рамках программы «Цифровая экономика РФ», утвержденным Правительственной комиссией по использованию информационных технологий для улучшения качества жизни и условий ведения предпринимательской деятельности в декабре 2017 г.
Примечательно, что согласно данному плану ответственным за внесение законопроекта назначено Минкомсвязи РФ, которое в марте текущего года представляло аналогичный законопроект на общественное обсуждение, о чем ранее писала «АГ».
Тогда в Законе об информации предлагалось закрепить понятие идентификатора, процедур идентификации и аутентификации, а также цифрового профиля. Также предусматривались поправки в Закон о персональных данных, регулирующие их обработку, и в Закон о связи, куда предлагалось внести изменения о необходимости согласия абонента на оказание услуг, не относящихся к контентным, но технологически неразрывно связанных с услугами подвижной радиотелефонной связи. По мнению авторов проекта, такое согласие должно быть выражено посредством совершения действий, однозначно идентифицирующих абонента и позволяющих достоверно установить его волеизъявление на получение услуг. В настоящее время сведения о документе удалены с Федерального портала проектов нормативных правовых актов.
Законопроект, внесенный в Госдуму, имеет существенные отличия от «предшественника», хотя в некоторых положениях дословно повторяет его. Например, в нем указано, что, если до вступления в силу положений о цифровом профиле субъект РФ создал соответствующую информационно-технологическую и коммуникационную инфраструктуру, высший исполнительный муниципальный орган вправе принять решение о создании регионального цифрового профиля. После вступления в силу норм о цифровом профиле создание региональных цифровых профилей будет недопустимо.
В пояснительной записке также отмечается, что основной задачей проекта является установление основных подходов и правил регулирования дистанционной идентификации и аутентификации лиц, которые носит юридически значимый характер и однозначно порождают правовые последствия.
Так, в Законе об информации предлагается закрепить понятие цифрового профиля, под которым понимается совокупность сведений о гражданах и юрлицах, содержащихся в информационных системах госорганов, органов местного самоуправления и организаций, осуществляющих отдельные публичные полномочия, а также в единой системе идентификации и аутентификации.
Для обмена сведениями в электронной форме предполагается создание инфраструктуры цифрового профиля. По сути, это совокупность информационных систем в единой системе идентификации и аутентификации, обеспечивающая доступ к цифровому профилю. Данная инфраструктура призвана обеспечить идентификацию и аутентификацию лиц, доступ к их цифровому профилю и возможность предоставления содержащихся в нем сведений частным лицам и публичным образованиям.
Вводится единое понятие идентификации и аутентификации как совокупности мероприятий по установлению идентификаторов и сведений о лице, их сопоставлению с идентификатором и проверке, а также по проверке лица на принадлежность ему идентификатора. При этом идентификатор определяется как уникальное обозначение сведений, необходимое для определения такого лица техническими и технологическими способами.
Предполагается, что сведения из цифрового профиля будут предоставляться и обновляться посредством единой системы межведомственного электронного взаимодействия в автоматическом режиме госорганами, органами МСУ, региональными цифровыми профилями и организациями, осуществляющими публичные полномочия.
В предусмотренных законодательством случаях согласие гражданина или юрлица на получение сведений о них из цифрового профиля или региональных цифровых профилей не потребуется. Во всех других ситуациях такие сведения могут быть предоставлены только с согласия данных лиц, при этом иное правило может быть установлено не только в законе или подзаконном акте, но и соглашением сторон.
Планируется, что запросы организаций на получение сведений о гражданах и юрлицах с использованием инфраструктуры цифрового профиля будут выполняться как на безвозмездной, так и на возмездной основе. Правительство РФ вправе установить случаи, размер и порядок платежей за направление таких запросов.
Проект также предоставляет правительству полномочия по определению порядка получения и предоставления сведений с использованием цифрового профиля, вводит в законодательство правовой институт электронного удостоверения личности гражданина, устанавливает возможность применения в гражданских отношениях неограниченного количества идентификаторов, а также способов идентификации и аутентификации.
Установлен перечень лиц, которые смогут подтверждать правильность идентификатора или ранее проведенной идентификации и аутентификации, – это кредитные организации и крупные операторы связи, имеющие право самостоятельно оказывать услуги по передаче данных.
Нормы Закона о персональных данных, касающиеся выражения согласия на обработку персональных данных, также предлагается дополнить. Например, если при обработке данных цифрового профиля требуется согласие субъекта, оно может быть выражено в форме электронного документа, при этом субъект может в любой момент отозвать свое согласие.
Изменения затрагивают и положения Закона о связи. Так, скорректированы способы выражения согласия гражданина на оказание услуг связи, технологически неразрывных с услугами радиотелефонной связи и направленных на повышение их потребительской ценности. Также предполагается использование различных идентификаторов, самостоятельно определяемых сторонами абонентских договоров и других соглашений.
В комментарии «АГ» адвокат АП Ставропольского края Нарине Айрапетян выразила опасение, что подобная система данных будет громоздкой и, как следствие, уязвимой. «Кроме того, из законопроекта с достаточной ясностью не следует, кто будет курировать систему, контролировать ее деятельность и доступ к ней», – пояснила она.
Эксперт также отметила, какие риски несет введение цифрового профиля для граждан. «К примеру, показывая свою платежеспособность там, где это выгодно отдельно взятому субъекту в определенный период времени, гражданин может стать заложником собственного позиционирования в другой сфере в иное время – в частности, не сможет рассчитывать на льготы или иные преференции со стороны государства или коммерческих структур. В то же время система цифровых профилей гарантированно уменьшает вероятность злоупотреблений со стороны граждан, что отвечает публичным интересам», – полагает адвокат.
Руководитель практики интеллектуальной собственности и информационного права Maxima Legal Максим Али с сожалением констатировал, что законопроект не претерпел принципиальных изменений со времени разработки Минкомсвязи. «До сих пор остаются открытыми вопросы, связанные с обеспечением необходимого уровня защиты персональных данных граждан. В частности, возникает вопрос о возможности обработки биометрических данных без отдельного согласия субъекта (что возможно лишь в тех установленных законом случаях, которые касаются отраслей законодательства, прямо указанных в ч. 2 ст. 11 Закона о персональных данных, – безопасности, оперативно-разыскной деятельности, гражданства и др.)», – отметил он.
По его мнению, использование цифрового профиля в гражданско-правовых отношениях вряд ли будет популярным. Более того, полагает эксперт, цель идентификации гражданина может быть достигнута (и уже успешно достигается) без необходимости прибегать к данному институту.
Изменение норм об электронной подписи
Два других проекта (№ 747528-7 и 747631-7) косвенно связаны с цифровыми профилями и касаются изменения норм об электронной подписи.
В пояснительных записках отмечается, что владельцы электронных подписей сталкиваются с невозможностью применять единый сертификат ключа проверки усиленной квалифицированной электронной подписи для идентификации и аутентификации в информационных системах разных ведомств. Сертификаты, выданные аккредитованными удостоверяющими центрами, не могут использоваться как универсальные, поскольку в них отсутствуют все необходимые идентификаторы. В связи с этим удостоверяющие центры предлагают получать разные квалифицированные сертификаты для работы с разными органами и организациями.
Предлагаемые поправки призваны решить указанную проблему. В частности, предусмотрено использование «метки доверенного времени» – достоверной информации о дате и времени подписания электронного документа, а также внедрение машиночитаемых доверенностей для подтверждения полномочий в цифровой среде.
В Законе об электронной подписи предлагается установить требования к порядку аккредитации удостоверяющего центра. Так, он должен иметь высокий порог собственного капитала и страховой ответственности. Срок аккредитации предлагается сократить до трех лет, а кроме того, ввести не только административную ответственность за допущенные нарушения технического характера, но и уголовную – за заведомо умышленные действия сотрудников удостоверяющего центра. По мнению разработчиков проекта, планируемые изменения помогут повысить качество работы удостоверяющих центров и сократить количество мошенничеств с использованием электронных подписей.
Кроме того, предлагается создание нового института доверенных третьих сторон – организаций, уполномоченных проверять электронные подписи в электронных документах и документально подтверждать результаты проверки. Для таких организаций предусмотрена аккредитация в Минкомсвязи.
Адвокат АП г. Москвы Людмила Космовская положительно оценила поправки по совершенствованию законодательства об электронной подписи. По ее мнению, разработчики проектов верно подметили проблему применения единого сертификата ключа проверки усиленной квалифицированной электронной подписи, поскольку в ряде случаев ведомства предъявляют свои собственные требования к квалифицированным сертификатам, что приводит к возникновению сложностей. «Авторы рассматриваемых законопроектов, как представляется, предлагают изменения, которые, с одной стороны, позволят решить выявившиеся проблемы, с другой – могут быть реализованы на практике без существенных негативных последствий. Отдельного одобрения заслуживают нововведения, связанные с институтом доверенных третьих сторон», – пояснила она.
Максим Али, напротив, усомнился в необходимости всех предложенных новаций: «Проблема, обозначенная в пояснительной записке (невозможность использования одной и той же электронной подписи для разных сфер отношений), безусловно, имеет место и требует решения на законодательном уровне. С другой стороны, законопроекты во многом содержат избыточные нормы, которым в лучшем случае место в подзаконных актах».