АНАЛИЗ ЗАКОНОПРОЕКТА № 759897-7
«О едином федеральном информационном регистре, содержащем сведения о населении Российской Федерации»
16 апреля 2020 г. Госдумой был срочно внесен на рассмотрение во втором чтении законопроект № 759897-7 «О едином федеральном информационном регистре, содержащем сведения о населении Российской Федерации» (https://sozd.duma.gov.ru/bill/759897-7). Законопроект принят без дискуссии во втором чтении 17 апреля 2020 г.
В пленарном заседании 17 апреля 2020 г. докладчик – председатель Комитета Государственной Думы по информационной политике, информационным технологиям и связи А.Е. Хинштейн, сообщил в своем выступлении, что законопроект ко второму чтению был обновлен на треть.
Следует учесть, что 17 апреля на рассмотрение Думы внесены исключительно срочные проекты для поддержки граждан и предприятий в сложной ситуации, связанной с распространением коронавирусной инфекции. Однако законопроект № 759897-7 «о регистре населения» к таковым не относится, поскольку никаких мер поддержки граждан и предприятий не предусматривает, он был внесен в Думу 23.07.2019 г. задолго до проблем с коронавирусом. Данный законопроект имеет исключительную цель сбора персональных данных всех граждан в одной информационной базе для обеспечения удобства чиновников и электронного контроля за населением.
Как отметил в пленарном заседании спикер Госдумы, на Совете думы принято решение голосовать 17 апреля без обсуждения, поскольку по законопроектам имеется «консенсус». Однако конкретно в отношении законопроекта № 759897-7 консенсуса фракций не было. В результате нарушения Регламента Госдумы обсуждение депутатами спорного законопроекта № 759897-7 во втором чтении было принципиально исключено.
Ниже приведен анализ неустранимых нарушений Конституции и иных законов законопроектом, а также приведен обзор ряда новых положений проекта, существенного его обновляющих, которые внесены в него ко второму чтению и которые не могли быть обсуждены в рамках пленарного заседания 17 апреля.
Указанные нарушения являются основанием для отклонения законопроекта в третьем чтении.
Законопроект № 759897-7 нарушает многочисленные конституционные права граждан и представляет собой серьезную угрозу национальной безопасности.
1. Принудительный сбор и обработка персональных данных граждан в нарушение статьи 24 Конституции РФ.
Согласно ст. 1 законопроекта «закон устанавливает организационно-правовые основы формирования и ведения единого федерального информационного регистра, содержащего сведения о населении РФ, в том числе сбора, обработки, хранения, получения, использования и защиты указанных сведений, а также обеспечения актуальности и достоверности иных содержащих сведения о населении Российской Федерации государственных информационных ресурсов и муниципальных информационных ресурсов».
Целью формирования регистра названо «создание системы учета сведений о населении, обеспечивающей их актуальность» (ч. 1 ст. 4 законопроекта). Иными словами, регистр как система учета сведений имеет целью «учет сведений». Такое обоснование цели не выдерживает никакой критики.
В Единый федеральный информационный регистр, содержащий сведения о населении (далее - Единый регистр) будут собирать данные обо всех россиянах, иностранцах, лицах без гражданства, проживающих либо работающих в РФ (ст. 6 законопроекта).
По ст. 3 законопроекта регистр о населении ведется непрерывно и должен включать актуальные сведения. То есть, все сведения о гражданах в постоянном режиме должны принудительно пересылаться из массы иных информационных баз в указанный «Единый регистр».
В нарушение Конституции РФ законопроект планирует легализовать принудительный сбор персональных данных в единую электронную базу для их последующего использования: органы власти «обязаны» передавать в Единый регистр данные о гражданах (ст. 10 законопроекта), вне зависимости от наличия согласия граждан.
При этом по ч. 11 ст. 8 законопроекта записи и сведения Единого регистра о населении «подлежат постоянному хранению, их изъятие и уничтожение не допускается».
Однако согласно части 1 статьи 24 Конституции РФ «Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются». Сейчас управление персональными данными принадлежит субъекту персональных данных, за некоторыми обоснованными исключениями, когда согласие субъекта по закону не требуется (например, при исполнении договора его сторонам не нужно подписывать отдельное согласие на обработку персональных данных).
А законопроект № 759897-7 полностью игнорирует существующие конституционные нормы и легализует беспредел - автоматизированный сбор и обработку персональных данных в постоянном режиме без согласия граждан.
В Единый информационный регистр планируют собирать огромное количество сведений: фамилия, имя и отчество (при наличии) и в случае их изменения иные фамилия, имя и отчество (при наличии); дата рождения; дата смерти; место рождения; место смерти; «пол и в случае его изменения иной пол»; сведения о семейном положении физического лица, в том числе о записях актов о заключении и расторжении брака; гражданство Российской Федерации и (или) гражданство (подданство) иностранного государства или иностранных государств; сведения о наличии у гражданина Российской Федерации документа на право постоянного проживания в иностранном государстве (при наличии); сведения об обращении гражданина Российской Федерации в полномочный орган иностранного государства о выходе указанного гражданина из гражданства данного государства или об отказе от имеющегося у него документа на право постоянного проживания в иностранном государстве (при наличии); идентификаторы: записи акта о рождении; записи акта о смерти; документа, удостоверяющего личность физического лица, включая вид, номер и иные сведения о таком документе; документов или отметок в документах, удостоверяющих личность, подтверждающих право иностранного гражданина и лица без гражданства на пребывание (проживание) в Российской Федерации; сведений о регистрационном учете гражданина Российской Федерации и миграционном учете иностранного гражданина и лица без гражданства в Российской Федерации; сведений о принятом решении по вопросам гражданства Российской Федерации; сведений о постановке на учет в налоговом органе, в том числе в качестве налогоплательщика налога на профессиональный доход; сведений о регистрации физического лица в качестве индивидуального предпринимателя; сведений о постановке на воинский учет граждан Российской Федерации, обязанных состоять на воинском учете; сведений о регистрации в системах обязательного пенсионного, медицинского и социального страхования; сведений о постановке на учет в органах службы занятости; документа об образовании и (или) о квалификации, документа об обучении, включая виды, номера и иные сведения о таких документах, сведений о присуждении, лишении, восстановлении ученой степени, присвоении, лишении, восстановлении ученого звания; учетной записи физического лица в федеральной государственной информационной системе «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» (далее – единая система идентификации и аутентификации); записей федерального регистра сведений о населении о физических лицах, являющихся родителями физического лица, супругом (супругой) физического лица, ребенком (детьми) физического лица (ч. 2 ст. 7 законопроекта).
Органы и организации, обладающие данными о гражданах, обязаны передавать информацию в Единый регистр (ст. 10 законопроекта). А согласно ч. 4 ст. 8 законопроекта органы и организации, направляющие сведения, несут ответственность за «полноту и актуальность сведений», то есть, за постоянную актуализацию данных.
Следует учитывать, что «персональные данные» представляют собой информацию, которая относится к «частной жизни» гражданина и представляет собой объект конституционно-правовой защиты. Защита «персональных данных» федеральным законом основана на положениях ст.ст. 23, 24 Конституции РФ [1].
Иными словами, органы власти принуждаются законопроектом к нарушению Конституции и законодательства о персональных данных. Между тем, по ст. 137 Уголовного кодекса РФ «Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия» наказывается лишением свободы на срок до 2 лет, а при совершении деяния с использованием служебного положения – до 4 лет. Эти нормы игнорируются законодателем.
Главная цель Правительства – инициатора законопроекта – обеспечение своего удобства и тотального контроля над гражданами. Но в части 3 статьи 55 Конституции РФ отсутствуют такие основания для ограничения конституционных прав граждан. Как неоднократно отмечал Конституционный суд, «цели одной только рациональной организации деятельности органов власти не могут служить основанием для ограничения прав и свобод» (Постановление Конституционного Суда РФ от 22.06.2010 N 14-П).
2. Противоречие законопроекта Федеральному закону РФ № 152 от 27.07.2006 г. «О персональных данных».
Как показано выше, в Единый регистр собирается широчайший перечень разнородной информации. Оператором регистра становится Федеральная налоговая служба. Согласно ч. 8 ст. 8 законопроекта все сведения об одном лице будут внесены в одну запись федерального регистра о населении.
Однако сбор разнородной информации в одной информационной базе – это грубое нарушение принципа работы с персональными данными, установленного статьей 5 ФЗ РФ «О персональных данных», согласно которому «Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой». Данный принцип технически обеспечивает конституционное право на неприкосновенность частной жизни. Однако законопроект № 759897-7 уничтожает указанный механизм.
Несомненно, персональные данные в десятках информационных баз различных государственных органов обрабатываются в настоящее время в целях несовместимых между собой, и в этом смысле являются разнородными. Например, данные о постановке гражданина на учет в качестве безработного, обрабатываемые в службе занятости, и данные о регистрации (расторжении) брака, обрабатываемые органами регистрации актов гражданского состояния, бесспорно обрабатываются в разных целях.
Невозможно объяснить обработку разнородных персональных данных некоей «общей» целью, например, такой как - по законопроекту - «создание системы учета сведений о населении». С такой логикой абсолютно любые персональные данные, которые попадают в те или иные госструктуры, можно было бы сразу передавать в единую базу ради цели «оказание госуслуг» (или «удобство чиновников»). Тем не менее очевидно, что такой подход является манипуляцией и подменой понятий.
«Общей» целью обработки всех персональных данных, которые планируется внести в Регистр не может быть сама по себе «обработка персональных данных». Цель обработки каждого вида данных должна оцениваться на основании предмета компетенции конкретного государственного органа. Компетенция и связанные с нею цели обработки персональных у разных госорганов различны. Поэтому принудительная передача данных из информационных баз различных госорганов в одну базу представляет собой грубейшее нарушение ч. 3 ст. 5 ФЗ РФ «О персональных данных».
3. Лица, получающие доступ к персональным данным.
Все органы власти (федеральные, региональные, местные) вне зависимости от сферы своей деятельности получают доступ к персональным данным гражданина из разных областей жизнедеятельности. Помимо органов власти всех уровней доступ к данным получат органы управления внебюджетными фондами, нотариусы, избиркомы и многофункциональные центры (далее – МФЦ).
Следует учитывать, что МФЦ не являются госорганами и предоставление им доступа без согласия граждан не только незаконно, но и чревато серьезными проблемами в масштабах страны. СМИ сотрясают новости об утечках данных через МФЦ. Помимо того, что вопрос с ответственностью МФЦ является весьма дискуссионным, следует учесть, что по ст. 16 ФЗ РФ от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» для оказания услуг МФЦ могут привлекать «иные организации», а также что МФЦ оказывают услуги для различных учреждений, не только госорганов. И никаких ограничений по организационно-правовой форме структур, которые может привлекать МФЦ, закон не устанавливает. Достаточно наличия сети филиалов, определенных каналов связи и Интернета (п. 32 «Правил организации деятельности МФЦ…», утв. Постановлением Правительства от 22.12.12. № 1376). Сам этот факт свидетельствует о легализации передачи госуправления коммерческим структурам. И важным шагом для отчуждения данных граждан становится легализуемый с помощью критикуемого законопроекта доступ в том числе коммерческих организаций (путем заключения договора с уполномоченным МФЦ) к создаваемому Единому регистру.
В соответствии с ч. 9 ст. 11 сведения, содержащиеся в федеральном регистре сведений о населении, используются вышеупомянутыми органами, организациями и лицами, «исключительно в целях реализации установленных нормативными правовыми актами Российской Федерации, нормативными правовыми актами субъектов Российской Федерации полномочий соответствующих органов, организаций и лиц». Между тем, полномочия соответствующих структур имеют весьма широкий характер. А согласно ч. 7 ст. 11 законопроекта «порядок предоставления сведений, содержащихся в федеральном регистре сведений о населении, в том числе перечень указанных сведений и сроки их предоставления, устанавливается Правительством Российской Федерации». Таким образом, из законопроекта невозможно сделать вывод, к каким именно персональным данным граждан какие структуры получат доступ. Соответствующее правовое регулирование делегировано на подзаконный уровень, что неприемлемо и может привести к дополнительным ограничениям прав граждан в нарушение ч. 3 ст. 55 Конституции.
Очевидно, что с таким регулированием произойдет расползание личных данных граждан по рукам самых разных «третьих лиц».
4. Присвоение единого электронного номера-идентификатора человеку.
Согласно ч. 8 ст. 8 законопроекта сведения об одном физическом лице, включаемые в федеральный регистр о населении, образуют одну запись регистра. Эта запись федерального регистра идентифицируется не повторяющимся во времени и на территории Российской Федерации номером. При внесении изменений в запись федерального регистра о населении номер указанной записи не изменяется.
Причем, номер записи регистра формируется и используется в порядке, определенном Правительством Российской Федерации (ч. 9 ст.8). Поэтому на уровень Правительства передается решение деталей такого чувствительного для населения вопроса как присвоение номера человеку.
Чиновники лукавят, отмечая, что номер будет присваиваться не человеку, а записям о нем.
На самом деле несменяемый уникальный номер будет идентифицировать именно конкретного человека, поскольку исключительно под этим номером будут собираться и обрабатываться все сведения о каждом конкретном человеке из любых государственных и муниципальных информационных системах. Иными словами, именно этот номер будет служить идентификации человека.
Идентификатором в настоящее время является имя человека, позволяющее его индивидуализировать. Согласно п. 1 ст. 19 Гражданского кодекса РФ (ГК РФ) «гражданин приобретает и осуществляет права и обязанности под своим именем, включающим фамилию и собственно имя, а также отчество». Согласно п. 1 ст. 150 ГК РФ «достоинство личности, честь и доброе имя…, иные нематериальные блага, принадлежащие гражданину от рождения или в силу закона, неотчуждаемы и непередаваемы иным способом». Именно имя должно являться в силу закона индивидуализирующей (идентифицирующей) характеристикой гражданина.
Однако по законопроекту номер записи становится «идентификатором», а ФИО будут лишь «сведениями» Регистра. Анализировать необходимо суть, содержание явления, а не его лукавую форму, наименование.
Стоит напомнить, что на Нюрнбергском процессе (20 ноября 1945 - 1 октября 1946 г.г.) международный военный трибунал в числе прочих преступлений фашизма признал практику присвоения людям номеров преступлением против человечности, не имеющим срока давности. Поэтому законопроекты, предполагающие идентификацию граждан через номерной идентификатор, преступны, умаляют человеческое достоинство, нарушают неотчуждаемое право человека на имя.
Согласно ч. 1 ст. 21 Конституции РФ «Достоинство личности охраняется государством. Ничто не может быть основанием для его умаления». Поэтому законопроект грубо нарушает положения Конституции РФ.
В контексте анализа законопроекта обратим внимание на ч. 2 ст. 13 ФЗ «О персональных данных», согласно которой «федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных».
Следует учесть, что согласно ч. 3 ст. 13 ФЗ «О персональных данных»: «Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных». Кроме того, «особенности учета» персональных данных не должны игнорировать ч. 1 ст. 21 Конституции РФ, согласно которой «Достоинство личности охраняется государством. Ничто не может быть основанием для его умаления». Многие граждане справедливо расценивают введение законопроектом уникального несменяемого номерного идентификатора в отношении любых сведений о человеке как номера человека, которого указанные сведения касаются, считая это умалением достоинства личности.
5. Законопроект игнорирует позицию Русской Православной Церкви.
Как отмечено в Позиции Русской Православной Церкви в связи с развитием технологий учета и обработки персональных данных, принятой Архиерейским Собором Русской Православной Церкви 4 февраля 2013 года: «Церковь считает недопустимыми любые формы принуждения граждан к использованию электронных идентификаторов, автоматизированных средств сбора, обработки и учета персональных данных и личной конфиденциальной информации. Реализацию права на доступ к социальным благам без электронных документов необходимо обеспечить материальными, техническими, организационными и, если необходимо, правовыми гарантиями».
Законопроект приведет к повсеместному принуждению в сфере автоматизированной обработки персональных данных граждан и присвоению номерного идентификатора человеку.
Многие граждане (особенно православного вероисповедания) категорически не приемлют номерную идентификацию как недопустимую с точки зрения веры подмену христианского имени номером.
Звучащие от сторонников тотальной принудительной цифровизации ссылки на «светский характер государства», якобы позволяющий игнорировать вышеуказанные позиции граждан, недопустимы и антиконституционны по следующим причинам.
Упоминание о светском характере государства содержится в статье 14 Конституции РФ, согласно ч. 1 которой «Российская Федерация - светское государство. Никакая религия не может устанавливаться в качестве государственной или обязательной». Таким образом, светский характер государства заключается исключительно в том, что все религии не являются государственными, а религиозные объединения отделены от государства. Тем не менее «негосударственный» характер религий не отменяет самих религий и конституционных прав граждан в религиозной сфере. По статье 28 Конституции РФ каждому «гарантируется свобода вероисповедания, включая право … свободно выбирать, иметь и распространять религиозные и иные убеждения и действовать в соответствии с ними». Каким образом государство гарантирует исповедание православия, запрещая гражданам действовать в соответствии с православными убеждениями? Такие действия государства грубо нарушают права граждан, исключая возможность нормальной жизнедеятельности и реализации базовых прав человека.
Конституция РФ закрепляет различные права, включая право на свободное вероисповедание, поэтому игнорирование одних конституционных норм в пользу расширенного толкования других является юридической ошибкой.
6. Зарубежная практика.
Реестр населения был в свое время (в 2006 г.) сформирован в Англии. Однако спустя 4 года было принято решение об отказе от ID-карт и связанного с ним реестра, поскольку власти признали, что такой реестр - нарушение неприкосновенности частной жизни и угроза безопасности. Правительство Великобритании говорило о непрактичности и неуправляемых нарушениях конфиденциальности в качестве причин отмены проекта «Национальный Регистр идентификации». Как тогда заявляла Тереза Мэй: «Этот законопроект (об отмене ID-карта и реестра граждан) является лишь первым шагом, которые правительство предпринимает, чтобы уменьшить контроль государства над достойными, законопослушными людьми и вернуть им власть». https://www.theguardian.com/politics/2010/may/27/theresa-may-scrapping-id-cards
Четкую позицию относительно присвоения номера-идентификатора гражданам занял законодатель Португалии. В частности, согласно п. 5 ст. 35 Конституции Португалии «Запрещается присваивать гражданам единственный в национальном масштабе номер».
Обратим внимание также на решение Конституционного суда Венгрии (1991 г.), которым присвоение гражданам единого номера признано антиконституционным.
В указанном решении сказано: «В течение 1970-х годов угрозы, представленные электронной обработкой данных, автономии человека, стали общеизвестными. С тех пор личный номер стал символом тотального контроля над гражданами и рассматривался исключительно как способ обеспечения эффективности, который рассматривал человека как объект.
В настоящем деле Конституционный суд объявляет, что личный номер является неконституционным.
Конституционный суд определяет, что в силу своей сути универсальный персональный номер противоречит праву принимать самостоятельное решение. … Ни «государственная сфера, ни государственная администрация в целом не могут рассматриваться как единое целое, в рамках которого может быть введен или использован единый персональный идентификационный код…».
Новая Зеландия также не имеет национального идентификационного номера. Общественность Новой Зеландии решительно выступала против присвоения национального идентификационного номера. И закон о конфиденциальности Новой Зеландии 1993 года фактически запрещает правительству создавать такой национальный идентификатор.
Однако российский законодатель игнорирует Конституцию РФ и положительный зарубежный опыт.
7. Законопроект как серьезная угроза национальной безопасности и суверенитету страны.
В пункте 14 Доктрины информационной безопасности (утв. Указом Президента РФ от 05.12.2016 г. №646) сказано: «Возрастают масштабы компьютерной преступности,… увеличивается число преступлений, связанных с нарушением конституционных прав и свобод человека и гражданина, в том числе в части, касающейся неприкосновенности частной жизни, личной и семейной тайны, при обработке персональных данных с использованием информационных технологий». Согласно пункту 17 Доктрины «Остается высоким уровень зависимости отечественной промышленности от зарубежных информационных технологий в части, касающейся электронной компонентной базы, программного обеспечения, вычислительной техники и средств связи, что обусловливает зависимость социально-экономического развития Российской Федерации от геополитических интересов зарубежных стран...».
В пункте 18 Доктрины говорится: «Состояние информационной безопасности в области науки, технологий и образования характеризуется недостаточной эффективностью научных исследований, направленных на создание перспективных информационных технологий, низким уровнем внедрения отечественных разработок и недостаточным кадровым обеспечением в области информационной безопасности, а также низкой осведомленностью граждан в вопросах обеспечения личной информационной безопасности. При этом мероприятия по обеспечению безопасности информационной инфраструктуры, включая ее целостность, доступность и устойчивое функционирование, с использованием отечественных информационных технологий и отечественной продукции зачастую не имеют комплексной основы».
Стоит вспомнить взлом всей системы персональных (в т.ч. биометрических) данных на миллиард человек в Индии, который занял 10 минут и стоил 8 долларов. Но дело не только в опасности взлома системы, а в грубейшем нарушении неприкосновенности частной жизни граждан государством самим созданием системы.
И при этом принимается закон, нацеленный на сбор всех данных обо всех гражданах страны в одну информационную систему.
Формирование полной базы данных на все наше население создает беспрецедентные возможности по уничтожению нашей страны для геополитических и потенциальных противников. Следует обратить внимание на заявления директора Центрального разведывательного управления США (ЦРУ) Джины Хаспел в Луисвиллском университете от 24 сентября 2018 года. Директор ЦРУ рассказала о планах ведомства расширить масштабы сбора информации о России (https://news.mail.ru/politics/34839924/?from=newsapp). Она пообещала «больше инвестировать в сбор информации по самым сложным вопросам». Как отмечает телеканал NBC, выражение «сложные вопросы» является кодовым для разведывательной деятельности, направленной против этих четырех стран; «наши усилия, направленные на заполнение пробелов в разведывательной информации, касающейся этих сложных стран, оказались на протяжении последних лет отодвинутыми на второй план в результате усилий по борьбе с терроризмом».
Законопроект будет служить выполнению поставленной директором ЦРУ США задачи по сбору информации о нашей стране.
8. Криминогенные и коррупционные риски.
Криминал будет широко использовать данные Единого регистра о населении, поскольку получит максимально удобное средство для сбора и использования систематизированной в одной точке информации о каждом человеке. Это будет способствовать росту преступности.
Если сейчас органы внутренних дел предупреждают граждан об опасности оставления информации о себе в социальных сетях в связи с тем, что такие действия провоцируют всплеск преступности (квартирных краж и т.п.), то законопроект о едином регистре о населении сам по себе есть мощнейшая провокация преступности в обществе.
Характерно, что для защиты в сфере оборота недвижимости Дума приняла закон о запрете электронных заявлений для совершения сделки с недвижимостью, если ему не предшествовало разрешающее заявление на бумажном носителе. Объясняется это необходимостью «блокировки отъема квартир». Но при этом через введение электронной базы на все население и электронных номеров-идентификаторов фактически легализуется возможность «кражи личности» со всеми персональными данными.
Если в настоящее время нередко происходят утечки информации из государственных систем и МФЦ, то доступ чиновников к полной картине персональных данных граждан в «одном месте» будет провоцировать их на торговлю данными. Законопроект № 759897-7 – мощнейшая база для коррупции.
9. Нарушение позиции Государственно-правового управления Президента РФ.
В ответ на обращение Патриарха Московского и всея Руси Кирилла Администрация Президента РФ в 2014 году дала следующий ответ: «Любые формы принуждения людей к использованию электронных идентификаторов личности, автоматизированных средств сбора, обработки и учета персональных данных, личной конфиденциальной информации недопустимы» (письмо от 22.01.2014 года №А6-403 помощника Президента РФ, начальника Государственно-правового управления Президента РФ Л. Брычевой; http://www.patriarchia.ru/db/text/3561086.html Однако эта позиция полностью игнорируется в законопроекте.
Законопроект № 759897-7 полностью игнорирует указанную позицию ГПУ.
10. Противоречие законопроекта Поручению Президента РФ Председателю Правительства РФ от 26 апреля 2017 г., в котором сказано: «В целях повышения информационной безопасности государственных информационных систем в РФ и защищённости персональных данных граждан РФ обеспечьте внесение изменений в федеральные законы, предусмотрев следующие принципы обработки данных в государственных информационных системах:
- минимизацию состава обрабатываемых персональных данных, необходимых для решения возлагаемых на информационные системы задач;
- декларирование и согласование порядка обработки персональных данных с целями их обработки;
- хранение персональных данных в электронном виде в информационных системах по месту возникновения таких данных…
Срок – до 1 декабря 2017 года».
Указанные в поручении Президента принципы обработки данных не просто не «соблюдены» в законопроекте, а грубейшим образом нарушены:
- перечень собираемых персональных данных является огромным (к тому же объединяющим разнородные персональные данные). Между тем, в поручении Президента речь идет о «минимизации» состава обрабатываемых данных. В нарушение указанной задачи законопроект нацеливает на «максимизацию» перечня собираемых в Регистр данных из различных информационных систем.
- обработка персональных данных в Регистре не согласуется с целями обработки каждого конкретного вида данных, предоставленных гражданином первоначальному оператору, на базе компетенции которого и следует сопоставлять порядок обработки данных и его цели.
- Поручение Президента исходит из хранения персональных данных в информационных системах «по месту возникновения таких данных». Законопроект игнорирует тот факт, что «местом возникновения» персональных данных, передаваемых в Регистр, является не Регистр, а те информационные системы, в которых данные фиксируются впервые, и откуда потом подлежат по законопроекту принудительной передаче в Регистр.
11. Соотношение законопроекта с положениями вето Президента РФ от 29 декабря 2016 г. на законопроект № 1048557-6 «О внесении изменений в отдельные законодательные акты Российской Федерации (о создании государственной системы "Единая федеральная межведомственная система учета контингента обучающихся по основным и дополнительным образовательным программам")».
Согласно письму Президента РФ от 29 декабря 2016 г. № Пр-2584 федеральным законом (на который наложено вето) должен быть установлен перечень конкретных сведений, содержащихся в государственных информационных системах "Контингент обучающихся" субъектов Российской Федерации и федеральной информационной системе "Контингент обучающихся", а также определены лица, которые имеют доступ к таким сведениям, и их ответственность.
А). Как показано выше, перечень сведений, передаваемых в Регистр по законопроекту № 759897-7, является неадекватным, несоразмерным, нарушающим базовые принципы обработки персональных данных по ФЗ «О персональных данных» и Поручение Президента от 26.04.2017 г.
Б). «Определение» в законопроекте лиц, получающих доступ к персональным данным, является неопределенным.
Все органы власти вне зависимости от сферы своей деятельности, а также органы управления внебюджетными фондами, органы местного самоуправления получают доступ к персональным данным гражданина из разных областей жизнедеятельности «для оказания госуслуг», исполнения иных предусмотренных законодательством функций. Кроме того, доступ к данным получат избиркомы, многофункциональные центры, нотариусы. Следует учесть, что МФЦ могут привлекать для работы «иные организации».
В). Вопрос об ответственности органов, работающих с данными Регистра, также является неопределенным, поскольку в законопроекте имеется лишь общая бланкетная норма, отсылающая для решения вопросов ответственности к иным законам (ст. 12 проекта).
12. Стоимость Регистра.
Ее сумма чиновниками не озвучена. Очевидно, что стоимость формирования Регистра очень высока. Не велика ли цена удобства чиновников с учетом многочисленных нарушений прав граждан созданием Регистра? Представляется более правильным было бы направление денежных средств в реальную экономику и поддержку граждан на фоне проблем из-за распространения коронавирусной инфекции.
13. Проблемы защиты отдельных категорий граждан.
По ч. 2 ст. 8 законопроекта «В федеральном регистре сведений о населении не допускается использование сведений, отнесенных в установленном законодательством Российской Федерации порядке к сведениям, составляющим государственную тайну, за исключением сведений, указанных в частях 12 и 15 настоящей статьи».
По ч. 12 ст. 8 законопроекта «В целях обеспечения безопасности государства, а также прав и свобод отдельных физических лиц в соответствии с законодательством Российской Федерации о государственной защите отдельных физических лиц в федеральном регистре сведений о населении предусматривается формирование и ведение учета сведений, в том числе об указанных физических лицах, обособленно. Особенности обособленного формирования и ведения учета отдельных сведений федерального регистра сведений о населении определяются Президентом Российской Федерации».
Во-первых, сам факт отсутствия определенных лиц в общей базе обозначает (раскрывает) их особое положение. Во-вторых, вскрытие «особого» сегмента также технически возможно (см. Доктрину информационной безопасности). На прошедших с 2011 по 2016 год Всемирных форумах по кибербезопасности ведущие эксперты мира констатировали, что ни у одной страны мира нет ответа на вопрос: как надежно защитить данные в виртуальном пространстве.[2]
14. Поправки к законопроекту во втором чтении.
Ко второму чтению в законопроект предложено 16 поправок на 56 листах, имеющих существенный характер, и которые не было возможности обсудить депутатам Думы по причине нарушения Регламента во втором чтении. В частности, внесены следующие поправки:
А). Согласно новой редакции п. 4 ч. 2 ст. 4 законопроекта сведения, содержащиеся в федеральном регистре сведений о населении, используются в целях: «обеспечения актуальности и достоверности информационных ресурсов органов государственной власти Российской Федерации, органов государственной власти субъектов Российской Федерации, органов местного самоуправления, органов управления государственными внебюджетными фондами, содержащих сведения о населении Российской Федерации (за исключением информационных ресурсов, сведения которых используются в соответствии с настоящим Федеральным законом для формирования и ведения федерального регистра сведений о населении) (далее – иные государственные и муниципальные информационные ресурсы), и обеспечения возможности выявления изменений содержащихся в них сведений о населении Российской Федерации путем приведения указанных сведений в соответствие со сведениями, содержащимися в федеральном регистре сведений о населении;».
Однако с учетом того, что первично персональные данные граждан вносятся в те информационные системы, из которых они впоследствии передаются в Единый регистр, не имеется оснований для того, чтобы именно Регистр имел приоритетное значение перед первичными системами сбора данных с точки зрения приведения сведений о гражданах в разных базах и Регистре к единоообразию.
Б). Также ко второму чтению появилась норма «Порядок приведения сведений о населении Российской Федерации, содержащихся в иных государственных и муниципальных информационных ресурсах, в соответствие со сведениями, содержащимися в федеральном регистре сведений о населении, определяется Правительством Российской Федерации» (ч. 8 ст. 11).
Вследствие того, что Регистр населения получает вследствие поправок приоритетное значение, приведение в соответствии с ним первичных баз данных может привести к грубому нарушению прав граждан. При этом на уровень Правительства делегируются полномочия по принятию Порядка приведения сведений о населении в других информационных системах в соответствие с Регистром населения. Такое регулирование следует квалифицировать как нарушение ч. 3 ст. 55 Конституции, исключающей возможность ограничения прав граждан на подзаконном уровне.
В). Согласно поправке к статье 4, внесенной ко второму чтению, «Сведения, содержащиеся в федеральном регистре сведений о населении, используются в целях … совершения нотариальных действий от имени Российской Федерации» (под. 8 ч. 2 ст. 4).
Между тем, право доступа нотариусов к Регистру является сомнительным, нотариусы не являются государственными органами, и их новые полномочия с доступом к широчайшей базе данных могут привести к существенным проблемам на практике.
Г). Ко второму чтению в законопроект внесена норма о праве граждан на получение информации о себе из Единого регистра, которое можно реализовать только с использованием единого портала государственных и муниципальных услуг, и которое обусловлено прохождением гражданами процедур идентификации и аутентификации в единой системе идентификации и аутентификации.
Согласно ч. 5 ст. 11 законопроекта «Предоставление сведений, содержащихся в федеральном регистре сведений о населении, физическим лицам, указанным в пункте 7 части 1 настоящей статьи, осуществляется с использованием единого портала государственных и муниципальных услуг, а также с использованием региональных порталов государственных и муниципальных услуг в соответствии с законодательством Российской Федерации после прохождения указанными лицами процедур идентификации и аутентификации в единой системе идентификации и аутентификации. Сведения о детях, не достигших совершеннолетия, не предоставляются родителям (одному из родителей) ребенка, в отношении которого они лишены родительских прав».
Однако согласно ч. 7 ст. 14 ФЗ «О персональных данных» «Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные ….».
В силу вышеуказанной нормы ФЗ РФ «О персональных данных» граждане могут осуществлять обозначенное в ней право без выполнения предварительных условий и обязанностей, включая регистрации в любых базах данных.
Кроме того, согласно п. 6 ст. 4 ФЗ РФ от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» (далее - ФЗ № 210-ФЗ) принципом предоставления государственных и муниципальных услуг является «возможность получения государственных и муниципальных услуг в электронной форме, если это не запрещено законом, а также в иных формах, предусмотренных законодательством РФ, по выбору заявителя». По п. 2 ч. 1 ст. 6 ФЗ № 210-ФЗ «органы, предоставляющие государственные услуги, и органы, предоставляющие муниципальные услуги, обязаны: …обеспечивать возможность получения заявителем государственной или муниципальной услуги в электронной форме, если это не запрещено законом, а также в иных формах, предусмотренных законодательством Российской Федерации, по выбору заявителя». А законопроект лишает граждан указанных прав, поскольку прямо устанавливает обязанность гражданина зарегистрироваться в электронной системе и получать госуслугу исключительно в электронной форме.
Соответственно, внесенная в законопроект ко второму чтению норма о принуждении граждан к регистрации в единой системе идентификации и аутентификации и о возможности реализации права на получение сведений из Регистра только с использованием единого портала государственных и муниципальных услуг грубо противоречат ФЗ РФ «О персональных данных» и ФЗ РФ «Об организации предоставления государственных и муниципальных услуг».
ВЫВОДЫ:
1. Законопроект № 759897-7 «О едином федеральном информационном регистре, содержащем сведения о населении Российской Федерации» нарушает нормы Конституции РФ, федеральных законов РФ, игнорирует указы и решения Президента РФ, позицию Русской Православной Церкви, представляет собой угрозу госбезопасности, личной безопасности граждан.
2. В законопроект № 759897-7 ко второму чтению внесены поправки, которые имеют неустранимые дефекты. В нарушение Регламента Думы законопроект во втором чтении не прошел обсуждения в пленарном заседании, и депутаты были лишены возможности высказать замечания по законопроекту.
С учетом вышеизложенного законопроект № 759897-7 должен быть отклонен.
Кандидат юридических наук, адвокат и эксперт Общественного уполномоченного по защите семьи Анна Швабауэр.
[1] См. Определения Конституционного суда от 29.09.2011 № 1063-О-О, от 29.01.2009 № 3-О-О; Комментарий к Конституции Российской Федерации (постатейный), 2-е изд., под ред. В.Д. Зорькина; Миндрова Е.А. «Коллизия права граждан на доступ к информации и права на неприкосновенность частной жизни в условиях информационного общества: автореф. дис. … к.ю.н. М., 2007г.; Проскурякова М.И. «Конституционно-правовые рамки защиты персональных данных в России» // Вестник СПбГУ. 2016. Вып.2. С. 12- 26.