В России планируется запустить в опытную эксплуатацию инфраструктуру цифрового профиля российского гражданина. Она будет аккумулировать в себе информацию о паспортных данных, свидетельстве о рождении, идентификационном номере налогоплательщика (ИНН), водительских правах, месте проживания, работы, собственности.
Правительство Российской Федерации одобрило инициативы о введении институтов цифрового профиля. Инициативы нацелены на создание условий для развития цифровой экономики и достижение целей одноименного нацпроекта. В частности, они вводят правовой институт «цифрового профиля» и электронного удостоверения личности гражданина, которое предоставит доступ к профилю, а также основные подходы к регулированию вопросов дистанционной идентификации и аутентификации граждан.
На момент подготовки данного материала в Госдуму внесено уже несколько законопроектов, касающихся цифрового профиля граждан и юридических лиц. Законопроектом № 747513-7 предлагается дополнить Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» новой статьей, посвященной правовому регулированию цифрового профиля. Одновременно в Госдуму внесен законопроект № 747528-7, направленный на совершенствование регулирования в сфере электронной подписи. Подобные изменения предлагаются к внесению и законопроектом за № 747631-7, так же, в том числе, содержащим изменения в Федеральный закон от 06 апреля 2011 г. № 63-ФЗ «Об электронной подписи».
На эту актуальную тему с корреспондентом БСМ согласился побеседовать Тимур Аитов, заместитель генерального директора группы компаний «Программный Продукт», Заместитель председателя Комиссии по цифровым финансовым технологиям Совета ТПП РФ по финансово-промышленной и инвестиционной политике, член экспертного совета по вопросам совершенствования правового регулирования в области использования электронной подписи, созданного Министерством цифрового развития, связи и массовых коммуникаций РФ. В качестве приглашенного эксперта он обрисовал основные подходы к реализации данного проекта и сложности, которые возникают при реализации этих подходов.
Корр.: Добрый день, Тимур Науфальевич! Начнем с истории проекта по созданию цифрового профиля гражданина? Насколько он нов и инновационен?
Т.А.: Сегодня проект создания цифрового профиля гражданина (далее – ЦПГ) выглядит как инновационный и не имеющий аналогов. Однако у него существовал проект-предтеча. Схожая по смыслу и задачам попытка создания Государственного реестра населения (далее – ГРН) была предпринята в 2000-х гг. Заказчиком проекта тогда тоже выступало Минкомсвязи, исполнителями – МВД, Минэкономразвития, ФАПСИ, Администрация Президента РФ и Минтруд. Генподрядчиком проекта стал НИИ «Восход». И хотя средства бюджета на проект были выделены, ГРН не был создан. Возможно, ключевой проблемой тогда стало межведомственное взаимодействие. В чьих руках должен был оказаться ГРН – в структуре МВД (с его системой паспортных столов) или в структуре Минюста, которое отвечает за работу ЗАГСов? Обе точки зрения имели свои обоснования.
Корр.: Как развиваются события в наше время? Какие наблюдаются риски при реализации столь масштабного проекта?
Т.А.: Один из ключевых рисков, которые я вижу на данный момент, – это «корпоратизация» персональных данных. Многие коммерческие ИТ-системы планируют встроиться в проект ЦПГ и создать аналоги. Не так давно первый заместитель Председателя Банка России Ольга Скоробогатова объявила о запуске пилотного проекта на аналогичную тему в 16 банках и трех страховых компаниях по созданию «личных» цифровых профилей клиентов. Поставщиками информации для проекта Банка России выступят ФНС, ПФР, МВД и Росреестр.
Если банкиры получат детальные данные о своих клиентах, они точнее смогут рассчитывать риски, связанные с предоставлением услуг, тех же кредитов. Что произойдет в этом случае со ставками, спрогнозировать нетрудно: более точное профилирование клиентов поставит в худшие условия в первую очередь незащищенные слои населения – стариков, малоимущих и многодетные семьи. Всем этим категориям банкиры поставят «заградительные» проценты с тем, чтобы покрыть риски невозврата кредитов. Все это вполне естественно – ведь банки не склонны к благотворительности.
К сожалению, создается впечатление, что эти новые социальные риски проектов в сфере цифровой экономики целенаправленно не отслеживаются.
Корр.: Для реализации ЦПГ в качестве юридической базы в том числе подготовлен законопроект, который вносит изменения и дополнения в действующий федеральный закон № 149-ФЗ «Об информации информационных технологиях и о защите информации». Какие здесь наблюдаются сложности?
Т.А.: Законопроект о ЦПГ не содержит положений об ответственности за нарушения требований информационной безопасности и наказаниях за возможные утечки персональных данных, которые будут храниться в ГИС ЦПГ. Хотя риски таких утечек существуют, они вполне реальны.
Факт получения согласия гражданина на обработку своих персональных данных подтверждается средствами квалифицированной электронной подписи (см. п. 5.1 законопроекта). Тем не менее наличие инструмента электронной подписи не привносит снижения рисков и новой защиты прав граждан.
Для реальной защищенности граждан скорее нужен полноценный контракт на обработку персональных данных клиента, который содержал бы всю необходимую информацию о том, что именно будет происходить с ценной конфиденциальной информацией, кто и как будет ее обрабатывать, кому будут переданы данные после обработки, как они будут храниться, как будет происходить отзыв согласия.
Проблемы с защитой персональных данных не разрешены в полном объеме во многих странах мира. Чего не скажешь о 28 странах Евросоюза, где в мае прошлого года вступил в силу «Общий регламент по защите данных» (General Data Protection Regulation, GDPR), защищающий личные данные граждан ЕС независимо от того, кто их собирает и как они обрабатываются. Страны с развитой экономикой (такие, как Канада, Израиль и Япония) сегодня склоняются к созданию режимов конфиденциальности, которые ближе по своей идеологии к GDPR, чем к американскому регламенту.
Корр.: Летом 2018 г. российские банки запустили услугу по сбору биометрии клиентов, которая позволит оказывать услуги дистанционно. К 2021 г., по расчетам Банка России, банки смогут оказывать на базе удаленной биометрической идентификации не только финансовые, но и государственные услуги. Какие здесь наблюдаются проблемы?
Т.А.: Биометрия – это идентифицирующие нас как личность признаки. Под биометрическими технологиями подразумеваются системы распознавания лиц, голоса, подписи, радужки глаза, отпечатка пальца, геометрии ладони и иных особенностей (например, ДНК или индивидуального ритма печати, и даже походки). Биометрические системы безопасности позволяют автоматически распознавать человека по его физиологическим или поведенческим характеристикам.
Но не следует забывать, что биометрия – наука приближенная, не дающая никогда 100%-й точности. В этом и состоят ее основные риски. И тем не менее имеются определенные ниши для ее применения.
Важна правильная подача этой технологии. Сегодня биометрию мы подаем как технологию, которая позволяет дистанционно открывать счета и управлять ими. Идет сбор данных в Единую биометрическую систему (ЕБС) – российскую цифровую платформу для дистанционной биометрической идентификации граждан РФ.
Кстати, говоря о рисках: уже здесь появился риск, что злоумышленник с поддельным паспортом сдаст свои персональные биометрические данные за клиента, а потом от его имени будет открывать счета или брать кредиты.
Увы, жителей далеких деревень эти возможности пока не привлекли, так же как, впрочем, и горожан, у многих из которых пять-шесть офисов банков в шаговой доступности. Последняя практика показала – если продвигать тему биометрии «в лоб», мало кто идет сдавать «голос и лицо».
Однако если чуть сместить акценты и включить биометрику, скажем, в МАП (методы аутентификации платежей) для крупных транзакций в том же банковском секторе – дело пойдет. Уверен, клиенты добровольно пойдут и сдадут биометрические данные исключительно для того, чтобы защитить свои деньги. Не секрет, что 90% из 400 тыс. преступлений прошлого года в этой сфере совершено с помощью социальной инженерии и им нет сегодня практически никакого противодействия.
Корр.: Да, по меткому выражению ИА «Банки.ру» телефонные мошенники, похищающие средства с банковских карт, стали «хитом» банковского сезона-2019. Сейчас у банков практически нет законной возможности остановить перевод мошеннику, даже если его жертва сообщила о своей ошибке в считанные минуты.
Т.А.: Напомню, социальные инженеры – это злоумышленники, которые либо уговаривают совершить перевод (назовем это СИ1), либо уговорами выманивает коды подтверждения операции (СИ2). С СИ1 бороться бесполезно, а вот СИ2 можно противодействовать.
На днях появилась информация, что Банк России запустит по федеральным телеканалам рекламную кампанию о противостоянии хищениям с банковских карт с помощью социальной инженерии. Такие планы были анонсированы на встрече консультативного совета при Банке России. Программой просвещения о рисках мошенничества предусмотрены разные форматы информирования граждан, в том числе через федеральные СМИ. Однако кроме просветительства со своей стороны Банк России в борьбе с социальной инженерией пока больше ничего не предлагает, а от него мы ждем соответствующих директивных материалов, и в том числе о включении биометрики в системы дистанционного банковского обслуживания.
Вернусь к вопросу биометрии. Банки особенно не спешат заниматься ее сбором, им она не нужна. Все то, что похищается посредством СИ, клиенту так и не возвращается. Существует статья 9 Федерального закона № 161-ФЗ «О национальной платежной системе», обязывающая банк это делать. Но как только идет речь о хищении методами СИ – банк сразу игнорирует любое заявление о краже. Правда с 19 августа с. г. появился финансовый омбудсмен Светлана Никитина от Банка России. Возможно, она изменит сложившуюся ситуацию.
Вызывает много вопросов надежная защита биометрических данных вообще. Напомню, масса хищений уже произошла, в том числе в Америке, когда были скомпрометированы миллионы учетных записей. Сегодня и из наших банков много чего пропадает… Банки закрываются, много персональных данных впоследствии размещается в Интернете – то ли в отместку, то ли для продажи. Так, недавно обнаружили 70 000 записей, которые скомпрометированы одним из крупных банков после потери лицензии. Это все новые риски текущего времени.
Раньше биометрию и соответствующие базы собирали и хранили по линии МВД. А теперь получается, что наши органы внутренних дел и сотрудники, имеющие соответствующий опыт, квалификацию, определенную форму допуска к информации, – они остались в стороне. Сбором занимаются банки, доверия к которым несколько меньше.
Корр.: Какие еще могут быть риски?
Т.А.: Хищения могут иметь последствия не только в финансах. Скажем, молодой человек в 18 лет сдал свою биометрику в банк, а его данные оказались украдены. После этой кражи ни одно учебное заведение правоохранительной направленности к себе на обучение его уже больше не возьмет.
Говоря о защите персональных данных вообще и биометрии в частности, выскажу парадоксальное мнение – не всякая персональная информация вообще нуждается в защите, сами персональные данные целесообразнее разделить по классам, по степени их «секретности».
Скажем, первый класс – это самая общая информация о гражданине, которая включает фамилию, имя, отчество, адрес регистрации, домашний телефон. Вся эта информация, включая ИНН, должна стать открытой. Мы должны знать, кто живет рядом с нами, платит ли он налоги, на каких условиях сдает квартиру. Напомню, в Москве раньше существовали киоски Мосгорсправки, в которых можно было узнать адрес и телефон жителя Москвы. С другой стороны, чувствительная личная информация, содержащая ту же биометрику, истории болезней, движение денег по счетам, конечно, нуждается в специальной защите. Если мы разделим персональную информацию на два класса, то резко снизим затраты на ее защиту, а сами данные сможем многократно использовать, не требуя всякий раз согласования и каких-то усилий сборщиков.
Следует признать, что действующая нормативно-правовая база в части Федерального закона № 152-ФЗ «О персональных данных» устарела, не предусматривает вообще возможностей и механизмов использования деидентификации персональных данных граждан, что, безусловно, является серьезным упущением. Недостатки законов и их медленное принятие – это общая проблема цифровой экономики. Самих законов цифровой экономики не хватает – из намеченных на этот год 30 приняли только два законопроекта.
Корр.: А что происходит с цифровой подписью? На данный момент в Госдуму внесены два законопроекта, один подготовлен Министерством цифрового развития, связи и массовых коммуникаций РФ, второй, как альтернатива первому, – бизнес-сообществом. И оба документа предлагают поправки в Федеральный закон № 63-ФЗ «Об электронной подписи».
Т.А.: Сила цифровой подписи – в поддерживающей ее инфраструктуре, а ключевая проблема здесь – отсутствие доверия игроков к ее компонентам. Отмечается недостаточное доверие к работе удостоверяющих центров (далее – УЦ) и процедуре их аккредитации, отсутствие должной ответственности за результат. Качество контроля за работой УЦ тоже в числе слабых мест (сейчас УЦ более 1000 шт.).
Когда говорят, что вместо 1000 нужно 10 УЦ якобы для того, чтобы повысить управляемость и контроль за сертификатами, то это, по моему мнению, неверно. Управляемость повысит не уменьшение количества центров, а эффективное управление атрибутикой: можно сертификат подписи не менять, а заменять только атрибутику.
Выпуск самих сертификатов и наделение их полномочиями могут быть в процедурном плане разнесены. Скажем, сертификат остается, а полномочия у того или иного субъекта отбираются. Для этого существует так называемая инфраструктура управления полномочиями PMI.
Права на изменение определенной атрибутики (связанные с должностью гендиректора или председателя правления банка) разумно передать в Федеральную налоговую службу или в Банк России, если он выскажет свое согласие. Сам сертификат по-прежнему могут выдавать УЦ – и этих сотрудников не нужно будет выгонять на улицу.
Корр.: Какие, по вашему мнению, необходимо внести изменения для снижения рисков стабильности деятельности индивидуальных предпринимателей и юридических лиц при работе с электронной подписью?
Т.А.: Нам не нужна электронная подпись юридического лица. Во всем мире ее нигде нет – а наш гендиректор вынужден передавать свою электронную подпись второму лицу. Напомню, сам факт передачи закрытого ключа по законодательству многих стран наказуем. Например, в Польше – тремя годами тюрьмы.
Доверие и связь автора с документом основана на принципе единоличного владения закрытым ключом – как только порвется эта связь, доказать, кто именно поставил подпись, будет невозможно технически.
Часто предлагают отнести к атрибутам сертификата цифровой подписи биометрические данные – это отпечатки пальцев или еще какие-нибудь атрибуты, но я не уверен, что это правильно: сертификат – это вещь публичная, а биометрия – конфиденциальная.
Существует и проблема долгосрочного хранения – некоторые документы, скажем в Пенсионном фонде, должны храниться десятками лет, особенно связанные с выплатами. Электронная подпись же действует какое-то ограниченное время, к примеру, один год. Но уже есть разумное предложение от некоторых экспертов и от самого Пенсионного фонда – создать цепной список, наподобие технологии блокчейн, когда последующая подпись использует реквизиты предыдущего документа.
В законодательстве по этой теме пока что много неразберихи и белых пятен. Много нестыковок в части трансграничного применения, Федеральный закон № 63-ФЗ «Об электронной подписи» действует как локальный закон Российской Федерации. Даже подтверждение документов, поступающих к нам из-за границы, до сих пор вызывает затруднения – необходима доверенная третья сторона, которая позволяет решить эту проблему. Есть опасения, что косметическими правками в закон «Об электронной подписи» и его подзаконные акты ситуацию не исправить.
Корр.: И наш традиционный вопрос: ваше личное отношение к наличным, насколько часто и при каких обстоятельствах вы ими пользуетесь?
Т.А.: Пользуюсь регулярно, особенно в сомнительных, скажем так, точках продаж, в небольших торгово-сервисных предприятиях за рубежом, на отдыхе. Наличные все-таки более безопасный способ платежа, да и больше нравится самим торговым работникам. Наличные отменят не скоро, и не думаю, что читатели этих строк когда-то с этим столкнутся.
Корр.: Большое спасибо за содержательную беседу!
Беседу вел Роман Гуреев