Закон о едином регистре населения спровоцирует утечки данных
Вести регистр населения будет ФНС на основании данных МВД, Минобороны, Минобрнауки, ФОМС, ПФР и других ведомств. "В настоящее время в Российской Федерации отсутствует единый централизованный информационный ресурс, содержащий базовые сведения о населении Российской Федерации, а также предоставляющий возможность путем информационного взаимодействия с иными информационными ресурсами получения полных и достоверных сведений о физическом лице, необходимых для реализации в том числе контрольной функции налоговых органов", - говорится в пояснительной записке к закону.
Согласно записке, сведения об одном физическом лице в регистре образуют одну запись, которую подпишут усиленной электронной подписью уполномоченного органа. Будет это подпись ФНС или другого ведомства - в документе не уточняется. По мнению разработчиков закона, создание ресурса о населении обеспечит достоверность и актуальность информации о гражданах; сократит сроки оказания госуслуг и количество мошенничеств с соцподдержкой и уплатой налогов; повысит собираемость платежей в бюджет страны.
Федеральный закон не прописывает четких технических требований к хранению данных. Это, как объясняет владелец юридической фирмы "Катков и партнеры" Павел Катков, вопрос подзаконных актов, а также практики, так как главным мерилом безопасности хранения персональных данных является наличие или отсутствие утечек. "В данном случае государство выступает оператором персданных и будет отвечать за их сохранность. Особый статус такого субъекта не дает ему специальных прав на разглашение данных. Вместе с тем очевидно, что судиться с ФНС будет сложнее, чем с рядовым оператором персданных", - предупреждает юрист.
Закон о персональных данных в ст.24 предусматривает возможность возмещения морального вреда. "Была некоторая судебная практика по взысканию морального вреда с организации, которая передавала персональные данные коллекторским агентствам. Но практика взыскания убытков и морального вреда с государства за раскрытие персональных данных мне не известна, - рассказал адвокат Александр Титов. - Кроме того, доказать обстоятельства утечки этих данных именно по вине ФНС, на мой взгляд, будет довольно сложно".
По его словам, никаких новых сведений о населении государство не получит. База будет их только аккумулировать. То есть как до ее создания, так и после на сам факт вмешательства государства в жизнь человека новый регистр не повлияет.
"Несмотря на критику данного законопроекта, который позволяет ФНС аккумулировать большие массивы данных, следует признать, что документ носит скорее технический характер, - уверен специалист юридической фирмы Axis Pravo Алексей Сулин. - Единый информационный ресурс формируется для хранения и обработки данных, которыми уже располагают министерства и ведомства. Ресурс не будет содержать сведений, которые бы отсутствовали, то есть его ведение, по сути, не привносит ничего нового. Речь о том, что все эти сведения будут храниться в одном месте. В этой связи вопрос о соблюдении законодательства о персональных данных остро не стоит". Госорганы получат быстрый доступ к максимальному количеству сведений о каждом гражданине.
Представитель "Ростелеком-Солар" Алексей Кубарев полагает, что обезопасить содержащиеся в базе данные от утечки можно будет в том числе средствами DLP. "Что касается целостности, здесь применимы средства шифрования, контроля доступа, технологии блокчейна", - предлагает специалист. Директор экспертно-аналитического центра InfoWatch Михаил Смирнов убежден, что не менее важная задача, чем утечки - обеспечить достоверность данных. "Представьте, кому-то поставят галочку с льготами, кому-то уберут, кому-то изменят статус… То есть защита и документирование этих действий являются ключевыми в плане обеспечения безопасности информации, особенно при обеспечении межведомственного взаимодействия", - обращает внимание эксперт InfoWatch.
По мнению аналитика компании "Доктор Веб" Вячеслава Медведева, заявленных целей создание еще одного реестра данных достичь не позволит. "База данных создается в целях сокращения времени обмена информацией между ведомствами. Но при этом в самих ведомствах зачастую электронный документооборот отсутствует", - напоминает эксперт по информационной безопасности. Таким образом, чтобы сформировать запрос внутри ведомства, все равно будут создавать документы и руководство будет утверждать их в бумажной форме и хранить на листах. Искать данные в архиве в случае необходимости также будут без электронного документооборота.
Вячеслав Медведев предупреждает, что создавать такую базу с точки зрения утечек персданных - небезопасно. По словам специалиста, наиболее эффективным было бы создание стандарта на электронный межведомственный документооборот. "Опасно даже не количество баз, а отсутствие единого на них стандарта. Что не позволяет с легкостью интегрировать их впоследствии. Утечки же - следствие низкой зарплаты. Стоимость данных перекрывает с точки зрения похитителя риски от потери работы", - сказал представитель "Доктор Веб".