D-russia.ru: должен быть проработанный кодекс, который регулирует цифровое пространство
На сайте "D-russia.ru" опубликовано интервью Анненкова А. с Н. Касперской - президентом ГК InfoWatch, председателем правления АРПП «Отечественный софт», руководителем группы «Информационная безопасность» национальной программы «Цифровая экономика РФ», участником рабочей группы по подготовке предложений о внесении поправок в Конституцию "Должен быть проработанный кодекс, который регулирует цифровое пространство". Полностью с материалом можно ознакомиться по ссылке.
— Что не уместилось в 40 секунд выступления на заседании рабочей группы под председательством президента? Просто подробнее, чтоб сказанное понял не только президент, но и наш читатель (IT-специалист, относительно далёкий от политики).
— Всё из запланированного практически уместилось, я лишь немножко сократила выступление, потому что было очень много желающих выступить. Постановка была такая. Информационное пространство – новая реальность, которая появилась недавно, пронизывает все сферы жизни общества и государства, оказывает серьёзное влияние на развитие экономики и суверенитет Российской Федерации и при этом несёт совершенно новые правоотношения и новые риски. Существующая Конституция писалась в 93-м году, когда такого пространства практически не существовало.
Эта постановка перекликалась с выступлением нескольких других участников рабочей группы, в частности, Хабриевой (Талия Хабриева – правовед, академик РАН – ред.), одного из сопредседателей рабочей группы – про науку.
Наша небольшая группа экспертов и юристов имела в уме защиту данных граждан, их прав на тайну цифровой идентификации, мы думали о запрете на создание неравенства, например, на основании цифровых профилей, рейтингов, цифрового следа. Я предложила внести в ст. 71, которая определяет вопросы, относящиеся к ведению Российской Федерации, норму о том, что в ведении федерального центра должны находиться информационные технологии и обработка данных – помимо того, что там перечислено. Собственно, это всё, что было сказано на эту тему.
Если вдаваться в конкретику – это пункт «и» ст. 71, где перечисляются энергетические системы, ядерная энергетика, связь и пр., дополнить словами «информационные технологии». И пункт «м» той же статьи, где перечисляются оборона и безопасность, порядок продажи и покупки военной техники и пр. дополнить словами «обеспечение безопасности при применении информационных технологий, обороте данных».
Президент сказал: «Согласен, это важно».
Сейчас информационные технологии никак не упомянуты в Конституции, нет в Конституции такой сферы. А в действительности она есть, и она большая, она принципиально влияет на нашу жизнь, на суверенитет страны, на права граждан.
У нас были более широкие предложения – ввести в Конституцию особую «цифровую» статью о цифровых правах граждан, цифровой идентичности, защите персональных данных. Логично было бы внести её в главу, где идёт речь о защите прав граждан. Но это вторая глава, которую вместе с первой и девятой трогать нельзя, поскольку они касаются основ Конституции, по ним другой способ голосования и другой способ подачи изменений.
Посоветовавшись с юристами, мы решили просто обозначить наличие данной темы, отнеся её в ведение Российской Федерации. Отсутствие единой государственной политики в этой сфере привело к тому, что в разных регионах РФ принимались разные законы и программы, по-разному трактующие базовые права граждан, строились разрозненные, не совместимые друг с другом системы.
Если наша поправка войдёт в основной закон, то дальше уже, исходя из Конституции, будут приниматься единые федеральные законы – про цифровую идентичность граждан, право на тайну идентичности, примат человека над технологиями, про оборот пользовательских данных, ограничения на использование искусственного интеллекта и пр., действующие на всей территории РФ единообразно. Там много что надо делать, должен быть целый «пучок» законов. Или даже всеобъемлющий «цифровой кодекс». Но это большая работа.
— Зарубежный опыт есть на эту тему?
— Как конституционная норма? По-моему, нет. Во всяком случае, нам он неизвестен. Цифровые кодексы сейчас пишутся в нескольких странах. Надо понимать, что нам нечего копировать ни с Запада, ни с Востока, поскольку, во-первых, все сейчас примерно в равном положении перед этой гигантской волной цифровизации, накрывающей государства и общество, а во-вторых, представления о базовых правах граждан, ограничениях на использование ИИ и целях цифровизации у разных государств – принципиально разные. Мы точно не идём в том же направлении, что США или Китай.
— Что последует за внесением в Конституцию предложенных вами изменений?
— Связывать какие-либо конкретные действия с включением этого положения в Конституцию я бы не стала, тут нет прямой связи. Нужен слой федеральных законов, конкретизирующих нормы Конституции. Например, есть в Конституции норма о том, что недра находятся в ведении Российской Федерации. В своё время был принят ряд законов (в том числе земельный кодекс), которые использовали эту конституционную норму.
Должен быть проработанный кодекс, который регулирует цифровое пространство и ИТ. Дальше – конкретные законы про ИТ. Обработка больших данных – это одна история, защита идентификации и обезличивание – другая, и т.д.
И уже потом, на третьем уровне от Конституции, подзаконные акты, например, про создание конкретных государственных информационных систем (ГИС).
— И всё же. Сейчас разработка ГИС децентрализована, единой информационной среды в государстве нет. СМЭВ всё ещё работает вручную. С принятием изменений Конституции есть надежда на скорейшее улучшение дел?
— Конституция задаёт направление: государство РФ должно единым централизованным способом регулировать цифровое пространство и информационную сферу в своих интересах.
В федеральных отраслевых законах государство, например, может потребовать единообразия ГИС, но я не думаю, что так будет. Нужно не информационные системы делать единообразными, а определить единые правила использования персональных и больших данных, правила защиты прав граждан на тайну личной жизни, защиту данных граждан.
Отсюда будут вытекать правила хранения данных, единые стандарты и форматы обмена данными, это и объединит ГИС, они должны быть совместимы по данным и по политикам их защиты. Сейчас не так.
Сейчас ответственность за безопасность и защиту данных, собираемых о гражданах – вообще непонятно чья, она размыта по десяткам или даже сотням частных и государственных игроков. С принятием этой поправки должно стать ясно, что защита личных данных и прав граждан в цифровом пространстве – ответственность Российской Федерации, а не отдельно взятой области, госоргана или частной компании.
Когда мы обсуждали предложенные поправки с экспертами и с юристами по цифровым технологиям (таких юристов у нас в стране не очень много, к сожалению), основной фокус был на защите прав граждан. Сейчас граждане в цифровом пространстве совершенно бесправны, любые приложения, устройства, интернет-сервисы, государственные службы распоряжаются их данными как хотят, гражданин сейчас не может на это никак повлиять.
Да, у нас есть закон о защите персональных данных, 152-ФЗ, но там слишком общие формулировки, закон практически не исполняется.
Например, где хранится информация о гражданине с камер наблюдения на улице, в транспорте, торговых центров, учреждениях, подъездах? Кто её анализирует, как она обрабатывается? Зачем распознаются лица всех подряд, кто отслеживает маршруты всех граждан и зачем?
Этого сейчас узнать нельзя. А почувствовать последствия – можно. Пусть государство расскажет гражданину, как оно собирается его цифровые права и данные защищать. А гражданин должен иметь полное право ограничивать или контролировать процесс идентификации «себя цифрового». Зная, что любые формы «цифрового неравенства» запрещены российскими законами. Меня, например, пугает, когда у нас планируется внедрение сервисов, которые заведомо будут нарушать права граждан. По этой причине мы и предлагали сделать отдельную статью в Конституции по поводу защиты данных граждан.
Нам нужно обеспечить примат человека над технологиями – чтобы технологии не могли использоваться для ухудшения положения граждан, для введения неравенства, чтобы технологии ИИ не могли принимать самостоятельные решения о гражданах РФ, влияя на их судьбы, ухудшая их положение. Информационные технологии не должны использоваться для ведения цифрового неравенства, социальных рейтингов.
Я также считаю (это моё личное мнение), что те специалисты, кто имеет доступ к личным данным граждан, должны работать в том же режиме, что и люди, допущенные к государственной тайне. Должны давать подписку о неразглашении, нести ответственность. Потому что – что важнее наших граждан? Чем личные данные граждан не государственная тайна?
Тогда хотя бы будет понятно, что человек, имеющий доступ к данным граждан, несёт серьезную ответственность. А сейчас системный администратор мэрии или торгового центра, скажем, хочет навредить соседу – он может пойти, посмотреть информацию о ежедневных перемещениях соседа, о местах, где тот постоянно бывает – довольно легко найти, чем можно скомпрометировать человека. Никак мы от этого не защищены, к сожалению.
— Право граждан на выбор технологий – тоже предмет защиты?
— Не думаю, что граждане должны выбирать конкретные технологии, применяющиеся в государстве (скажем, на Госуслугах), например, хотя бы потому, что у них нет критериев выбора. Выбирать конкретные реализации должны профессионалы.
Но граждане должны, например, иметь право и возможность отказаться от цифровых технологий в принципе или запретить использовать свою цифровую идентичность. Сейчас цифровизация, необходимость использовать цифровые устройства для реализации базовых прав, сбор данных граждан по площадям – навязываются «по факту», ползучим образом. Это на самом деле нарушение прав граждан и Конституции в том числе.
— Информационная система ФНС – да, тут выбирать нечего, но если речь идёт о выборе между фэйсбуком и ВК…
— Как Facebook сохраняет наши данные, вы знаете. Я тоже догадываюсь. Использует как хочет, да ещё передаёт своим спецслужбам. Последние 2-3 годы идут непрерывные публичные скандалы по поводу всех видов прослушки и слежки, которые использует FB, а также по поводу продажи и передачи этих данных коммерческим партнёрам FB. Та же история с Твиттером, Гуглом и другими. Западные цифровые гиганты считают себя вне российской юрисдикции, не выполняют требования уже существующих законов РФ о персональных данных и защите прав пользователей.
По крайней мере, у нас будут конституционные и федеральные нормы, которые, я надеюсь, смогут использование данных регулировать. И заставят внешних интернет-игроков подчиняться законам Российской Федерации.
— Путин сказал на совещании рабочей группы: присутствующие знают свои предметные области, и в этом ценность их предложений. Вы говорили от имени IT-индустрии, или как гражданин?
— Да, скорее всего, это гражданская позиция, а не позиция именно IT-цеха. Мне кажется, что Конституция – это не про отраслевые интересы. Это про создание законов, которые будут едиными на всей территории РФ и будут действовать одинаково для всех.
Но, естественно, для законотворчества в области информационных технологий нужно понимать эту сферу. Я для обсуждения этих «цифровых поправок» собрала в феврале небольшую рабочую подгруппу из IT-экспертов и «цифровых юристов», с глубоким пониманием нашей цифровой среды.
— Но реализовывать законы, принятые вследствие поправок в Конституцию, придётся индустрии.
— Не согласна. Смысл поправок в том, чтобы застолбить, зацепить в Конституции понятия «информационные технологии» и «данные» как общие проблемы, находящиеся в федеральном ведении.
На мой взгляд, за целеполагание в области IT должно отвечать государство, например, в лице Минкомсвязи, что наиболее логично. Сейчас государственные программы во многом пишутся исходя из отраслевых интересов или из коммерческих интересов конкретных фирм.
Надеюсь, что изменения Конституции дадут возможность строить законы «сверху вниз», исходя из верхней точки: есть Российская Федерация, и она, в лице законодателей, правительства, а затем определённого ведомства, в чьём ведении находятся информационные технологии Российской Федерации, определит цели, стратегию, а потом поддержит бюджетами и подзаконными актами, программами и нацпроектами. Как это делается, например, с энергетикой или полезными ископаемыми, где политику определяет государство.
Стратегические вопросы не решаются «снизу вверх», сборкой из разрозненных креативных предложений сотен игроков и участников, это же не капустник.
— Аналогия с нисходящим проектированием в программировании уместна?