24 августа 2020

Дубликат бесценного

Автор: Диана Полетаева

С общественным обсуждением законопроектов у нас по-прежнему не складывается. Это совершенно справедливо отмечено в Докладе ГРЕКО в рамках четвёртого раунда оценки выполнения Российской Федерацией рекомендаций ГРЕКО по предотвращению коррупции у членов парламента (GrecoRC4(2019)19)[1].

Механизм имитации «общественного обсуждения», представляющий собой размещение законопроектов на официальных порталах и, по понятным причинам, вполне устраивающий законотворцев, специалистов ГРЕКО предсказуемо не убедил. «Одного лишь того, что законопроекты стали доступны на интернет-площадках обеих палат Федерального Собрания, самого по себе недостаточно», сочли они. Как верно сказал Сергей Александрович: «Большое видится на расстоянии… Корабль в плачевном состоянии».

И действительно, чего стоит это размещение, если большинство попыток донести до курирующего специалиста список замечаний к законопроекту заканчивается оглушительным молчанием. А уточняющий звонок с вопросом «получали?» — нескрываемым раздражением, не оставляющим ложных впечатлений о судьбе электронного письма (упокой цифровой бог его электронную душу).

Парадоксально, но лидером в соревновании странных реакций властных структур на «общественное обсуждение» можно признать Минюст, который на примеры явно несовместимых с жизнью правовой нормы столкновений с Конституцией отвечает: идите вы… в суд. Это случается даже в тех случаях, когда самому Минюсту высочайшим распоряжением велено проверить наличие несоответствий.

Очередным примером «имитационного обсуждения», к изумлению почтенной публики незаметно для неё начавшегося и столь же незаметно завершившегося месяц назад[2], является проект постановления правительства РФ «О проведении на территории города Москвы эксперимента по созданию, активации и применению мобильного приложения „Мобильный идентификатор“ взамен основного документа, удостоверяющего личность гражданина Российской Федерации на территории Российской Федерации, при предоставлении отдельных государственных, муниципальных и иных услуг», разработанный Минкомсвязи.

Проект предусматривает, что к 31 августа 2020 года будет разработано, а с 1 декабря 2020 — введено на территории Москвы в отдельных правоотношениях мобильное приложение «Мобильный идентификатор», которое на время эксперимента должно заменить бумажный паспорт.

Как мы знаем, эксперимент по внедрению искусственного интеллекта, начавшийся с июля 2020 года в Москве, мультиплицирован в режиме «горшочек, вари». Он оброс новыми законами уже на федеральном уровне, подминая законотворческой «кашей» медицинскую тайну и тайну связи[3]. Так что перспектива нового эксперимента примерно ясна.

Итак, что же ждёт добровольцев наших «цифровых гамалей»?

Если всё пойдёт по плану, до 31 декабря 2021 года на территории Москвы будет проводиться эксперимент по созданию, активации и применению мобильного приложения «Мобильный идентификатор» — взамен основного документа, удостоверяющего личность гражданина, то есть паспорта. Сделано это будет «в целях повышения эффективности государственного управления и предоставления государственных, муниципальных и иных услуг посредством внедрения цифровых технологий, а также в целях обеспечения высокого качества и возможности получения гражданами Российской Федерации услуг дистанционно».

Курирующие проект чиновники, желая показать близость к народу, начали с того, что пообещали упрощение покупки алкоголя: не нужно паспорт носить, достаточно будет приложения[4]. Интересно, почему для официального комментария господин Шадаев избрал именно спиртовую тему… Из гигиенических или антистрессовых соображений?

Между тем, как следует из проекта, не только ради комфортной покупки алкоголя всё затевалось. Эксперимент будет проводиться также при предоставлении отдельных государственных, муниципальных и иных услуг, список которых занимает целое приложение (Перечень).

К примеру:

1) Без личного обращения гражданина, с применением технологии дистанционного создания усиленной квалифицированной электронной подписи будут доступны: государственная регистрация физических лиц в качестве ИП; приём и регистрация в территориальных органах МВД заявлений, сообщений и иной информации о преступлениях, об административных правонарушениях, о происшествиях; предоставление сведений, содержащихся в ЕГРН; приём, рассмотрение заявлений (уведомлений) застрахованных лиц в целях реализации ими прав при формировании и инвестировании средств пенсионных накоплений и принятию решений по ним; прочие услуги.

2) Только при личном обращении гражданина с применением технологии дистанционного создания усиленной квалифицированной электронной подписи будут доступны: заключение в электронном виде договора купли-продажи нового транспортного средства с физическим лицом, являющимся гражданином Российской Федерации; заключение трудовых договоров в электронном виде; услуги и сервисы, предоставляемые в рамках эксперимента органами государственной власти города Москвы, органами местного самоуправления, подведомственными им организациями, а также иными организациями города Москвы; прочие услуги.

3) При личном обращении без применения технологии дистанционного создания усиленной квалифицированной электронной подписи будут доступны: покупка авиа- и железнодорожных билетов на рейсы внутреннего сообщения; проход в зону предполетного досмотра внутренних авиалиний в части идентификации гражданина в списке пассажиров и установления личности гражданина, заключившего договор с перевозчиком; (упомянутое выше) подтверждение совершеннолетнего возраста при покупке алкогольной или табачной продукции; оформление пропусков и обеспечение прохода в здания, имеющие контрольно-пропускной режим; прочие услуги.

4) С применением приложения «Мобильный идентификатор» будут доступны: заключение в электронном виде договора купли-продажи нового транспортного средства с физическим лицом, являющимся гражданином Российской Федерации; услуги и информационные сервисы перевозчиков, осуществляющих продажу билетов на внутренние воздушные и железнодорожные перевозки пассажиров; услуги и информационные сервисы операторов почтовой связи, оказывающих услуги на территории города Москвы; прочие услуги.

В эксперименте будут участвовать: Минкомсвязи, Пенсионный Фонд, ФНС, Росреестр, ФСТЭК, Минюст, Минэкономразвития, МВД, ФСБ, Правительство Москвы, исполнительные органы государственной власти Москвы, «Ростелеком», АНО «Цифровая экономика», иные организации, предоставляющие соответствующие услуги, индивидуальные предприниматели. Ну и, разумеется, граждане, согласившиеся на участие в эксперименте на добровольной основе.

Как предполагают авторы проекта, паспорт гражданина будет заменён приложением «Мобильный идентификатор», представляющим собой специальное программное обеспечение с электронным доступом к данным о гражданине.

К таковым относятся:

  • фамилия, имя, отчество (при наличии), пол, дата рождения и место рождения;
  • фотографическое изображение лица гражданина;
  • сведения о регистрации гражданина по месту жительства и снятии его с регистрационного учета;
  • сведения о ранее выданных паспортах;
  • сведения о выдаче основных документов, удостоверяющих личность гражданина Российской Федерации за пределами территории Российской Федерации;
  • сведения о семейном положении физического лица, в том числе о записях актов о заключении и расторжении брака;
  • страховой номер индивидуального лицевого счета гражданина;
  • индивидуальный номер налогоплательщика;
  • иные сведения, необходимые для предоставления услуг, указанных в Перечне.

«Мобильный идентификатор» будет устанавливаться на смартфон или планшет с доступом к интернету.

В рамках пилотного проекта использовать приложение в качестве паспорта смогут москвичи, достигшие 18 лет, имеющие верифицированную учётную запись на портале госуслуг и действующий паспорт.

Для активации мобильного приложения гражданину необходимо будет обратиться с соответствующим заявлением в Пилотный многофункциональный центр. Там его ждут: работник, который обеспечивает форматно-логическую проверку предоставленных гражданином документов, сканирует все страницы паспорта, а также заносит предоставленные гражданином сведения в региональную автоматизированную информационную систему многофункциональных центров и криптобиокабина — программно-технический комплекс, предназначенный для приёма документов, обработки, передачи и проверки персональных данных граждан, включая биометрию.

С использованием криптобиокабины будут осуществляться:

  • сканирование QR-кода с индивидуального мобильного устройства;
  • сканирование паспорта в видимом и ультрафиолетовом диапазоне;
  • получение фотографического изображения лица гражданина;
  • получение биометрических данных, необходимых для занесения в единую биометрическую систему: создание биометрических образцов данных изображения лица гражданина, а также биометрических образцов данных голоса гражданина при наличии технической возможности.

Сведения и данные, предоставленные гражданином для получения и активации мобильного приложения, в том числе данные, полученные с использованием криптобиокабины, передаются через ведомственный сегмент Минкомсвязи России системы «МИР» в ведомственный сегмент МВД России системы «МИР» в электронной форме для их проверки.

Как полагают авторы, считывать данные, предоставляемые гражданином в виде приложения в рамках правоотношений (при оказании услуг, совершении покупок и т. п.), будет терминал — программный или программно-аппаратный комплекс, использующий средства криптографической защиты информации для удостоверения подлинности предоставляемых с применением мобильного приложения данных, а также обеспечения защищенного взаимодействия с федеральной и региональной инфраструктурами мобильного приложения. Собственно, от наличия терминала и его рабочего состояния будет зависеть успешная реализация функции цифрового паспорта.

С использованием мобильного приложения будут обеспечиваться:

  • обмен данными между терминалом и мобильным приложением с применением технологии QR-кодов и NFC;
  • предоставление разрешения гражданином на просмотр пользователем терминала применения фотографического изображения лица гражданина с целью установления тождественности с лицом гражданина, применяющего мобильное приложение;
  • идентификация и аутентификация в единой системе идентификации и аутентификации, СУДИР, единой биометрической системе;
  • взаимодействие с единой системой идентификации и аутентификации, СУДИР в целях получения доступа к данным о гражданине в информационных системах, в том числе получение необходимых согласий на доступ к данным и на обработку персональных данных;
  • автозаполнение форм заявлений или анкет при обращении за предоставлением государственных, муниципальных и иных услуг, в рамках эксперимента.

Доступ терминала к данным о гражданине с использованием мобильного приложения предоставляется по запросу терминала в необходимом объёме после предоставления гражданином разрешения на такое предоставление. Порядок предоставления гражданином такого разрешения определяется Минкомсвязи.

То есть схема довольно проста:

москвич, достигший 18 лет, имеющим верифицированную учетную запись на портале госуслуг, паспорт и желающий существенно упростить своё общение с чиновниками, работодателем или контрагентами:

Вместе со своим (пока бумажным) паспортом
идёт в пилотный многофункциональный центр (ПМФЦ)
Находит в ПМФЦ работника, который проверит документы, отсканирует все страницы паспорта, а также занесёт предоставленные сведения в региональную автоматизированную информационную систему многофункциональных центров; выполняет все указания;
получает расписку и QR-код для приложения
Использует криптобиокабину,
передаёт свои биометрические (и иные) данные;
активирует мобильное приложение
Пользуется приложением во всех правоотношениях,
где предусмотрена замена цифровыми данными бумажной версии паспорта

Но справедливости ради стоит упомянуть, что залогом успешной миссии цифрового паспорта будет хороший доступ в интернет и работающий терминал. Если не случится того и другого одновременно — значит, не повезло. А если при этом с собой не окажется бумажного паспорта — не повезло вдвойне.

Кроме того, вся красота перспективы меркнет на фоне последних сообщений о масштабных утечках персональных данных граждан.

Так, сначала смыло и бурным потоком унесло данные, предоставленные при получении QR-кодов для передвижения в зоне эпидемии Москвы. Затем — дополнительно размыло берега цифровизационного настоящего данными граждан, проходивших соцопрос на тему «каково Ваше отношение к тому, что без Вас переписали и приняли новую Конституцию? Вы: а) да, не возражаете или б) нет, не возражаете».

А с внедрением обсуждаемого проекта потенциальные утечки грозят быть масштабнее. Ведь речь пойдёт о более подробных сведениях, о биометрии, горизонты применения которой гораздо шире, а также о данных третьих лицах, совсем не выказывавших воли на участие в эксперименте.

Но самые радужные мошеннические перспективы рисует предложенное авторами в рамках эксперимента «создание ключа усиленной квалифицированной электронной подписи для последующего его дистанционного использования, в том числе для создания при помощи такого ключа усиленных квалифицированных электронных подписей для электронных документов». А ведь казалось, ещё довольно свежи воспоминания и впечатления о первых «пробах криминального пера», представлявших собой рейдерские захваты юридических лиц с применением КЭП, а также вмешательство в реестры…

И рассказы в духе «никогда-не-утекало», утопии про защищённые контуры, сказки про ФСТЭК — никого не убедят. Ведь все утечки, происходившие до сих пор, в большинстве своём не масштабные хакерские атаки, а банальный человеческий фактор, вся безупречность и эффективность которого состоит в ручном копировании базы данных, к которой есть доступ. Спрос рождает предложение. Золотой закон чёрного рынка данных работает безупречнее любого государственного закона. При этом чиновничья игра в оправдания выглядит каждый раз всё более неубедительно.

На этом фоне общая превенция преступлений, связанных с кражей персональных данных, до сих пор отсутствует. Действенные механизмы привлечения к ответственности и возмещения ущерба за кражу персональных данных также не выработаны. Есть абстрактное «несоответствие» положенным стандартам и номинальные санкции за это несоответствие. Но и тут о каких-либо масштабных штрафах нам неизвестно.

При имеющихся проблемах с утечками механизм блокировки приложения, описанный в проекте, выглядит довольно «сырым». В частности, проектом предусмотрено, что приложение подлежит блокировке в следующих случаях:

  • утрата, замена, хищение индивидуального мобильного устройства с установленным и активированным мобильным приложением;
  • отказ от использования мобильного приложения гражданином;
  • выявление фактов активации и (или) применения мобильного приложения без согласия гражданина;
  • отзыв согласия на обработку персональных данных, предоставленного гражданином при подаче заявления;
  • утрата и (или) замена паспорта, в том числе изъятие паспорта в случаях, предусмотренных законодательством Российской Федерации;
  • выявление противоправных действий, осуществленных при активации мобильного приложения или осуществляемых с применением мобильного приложения;
  • прекращение гражданства Российской Федерации — с момента получения соответствующих сведений территориальным органом Министерства внутренних дел Российской Федерации;
  • смерть гражданина — с даты государственной регистрации смерти;
  • выявление паспорта, оформленного на утраченных (похищенных) бланках, выданного в нарушение установленного порядка, а также признанного недействительным;
  • вступившее в законную силу решение суда о признании паспорта недействительным;
  • иные случаи признания паспорта недействительным.

Блокировка мобильного приложения осуществляется по решению гражданина, а при наступлении обстоятельств, указанных в пунктах 4−11, в том числе на основании обращений уполномоченных органов государственной власти в Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации.

Как мы видим, точные сроки и механизмы блокировки приложения не определены. Формулировка «по решению гражданина» при этом выглядит довольно странной: как должно быть выражено это «решение», в какую форму облечено, кому должно быть адресовано… или оно должно следовать из обстановки? Также не определена судьба начатых до блокировки операций. Их завершат или отменят?

При этом временно’й разрыв между моментом физической утраты контроля над гаджетом и событием, указанным в списке, может стать критичным для случаев неправомерного использования цифрового паспорта.

Авторы указывают, что заблокировать мобильное приложение гражданин может двумя способами:

  • самостоятельно (с использованием своей учетной записи в ЕСИА, СУДИР) либо
  • обратиться в ПМФЦ.

Но поскольку на практике доступ к «учётке» в ЕСИА или СУДИР гражданами осуществляется через то же устройство, на котором установлено приложение, при утрате контроля над гаджетом гражданин будет вынужден обращаться ПМФЦ и ждать блокировки. Что за это время можно будет сделать, имея в распоряжении устройство и цифровую подпись, — подскажет фантазия.

Альтернативных механизмов срочной блокировки не предусмотрено. Может, авторы проекта их разработают и внедрят позже, несмотря на то, что прямо об этом не упомянули. Во всяком случае, хотелось бы на это надеяться… Дыра в юридической технике являлась бы меньшим из зол.

«Эксперимент с введением мобильного приложения „Мобильный идентификатор“ взамен бумажного паспорта гражданина в Москве позволит точно определить: какая нужна инфраструктура, в каком объеме, идентифицировать барьеры для реализации проекта, а также позволит уточнить этапы и сроки полномасштабного внедрения», — заявил и.о. руководителя Проектного офиса по реализации национальной программы «Цифровая экономика» Аналитического центра Сергей Лещенко в интервью изданию «Коммерсантъ».

Приложение и необходимую инфраструктуру для его работы должны разработать до 1 декабря этого года. К этому же сроку Правительство Москвы определит оператора региональной инфраструктуры и выберет не менее двух ПМФЦ, где можно будет получить доступ к приложению. МВД, в свою очередь, должно также синхронизировать «Мобильный идентификатор» с миграционным и регистрационным учетом. Предварительные итоги эксперимента планируется подвести к маю 2021 года.

Таковы планы…

Впрочем, как мы знаем, многие цифровые начинания на практике получали продолжение в виде «прикрепления» к искусственному интеллекту человеческой единицы, яростным нажиманием кнопок доводящей автоматизированный процесс до более-менее приемлемого финала. И все они имели такое же «гладкобумажное» начало…

Одно плохо: река утекающих персональных данных уже вышла из берегов. Потому на фоне всего происходящего хотелось бы призвать цифровых пионеров к разумному самоограничению и перефокусировке усилий на давно требующий решения вопрос о реальной защите персональных данных.

Но что-то нам подсказывает, что вероятность такого развития событий почти сказочная. Верить в сказку или нет — каждый решит сам.

[1] Принят ГРЕКО на 84-ом пленарном заседании в Страсбурге 2−6 декабря 2019 года.

[2] https://regulation.gov.ru/projects#npa=102 417

[3] Проект Закона «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона „Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации“ (в части развития технологий искусственного интеллекта и больших данных)» доступен по ссылке: https://regulation.gov.ru/projects#npa=106 119

[4] https://tass.ru/ekonomika/8 563 863

1 293

Другие публикации

Публикации
О благоразумии в интернете и рисках, связанных с раскрытием данных другого человека ...
25 января
Публикации
Бюрократическая реестритизация землепользования
03 мая 2023
Публикации
Еще раз о Fan ID
11 апреля 2023
105062, Москва, Лялин переулок, дом 9, строение 3.
+7 (495) 933-64-26
info@abkazakov.ru
Рейтинги и награды


Социальные сети

© АБ «Казаков и Партнеры» 2003—2024 Карта сайта