Закон о едином регистре населения спровоцирует утечки данных

03.06.2020 |

Совет Федерации вчера, 2 июня, одобрил законопроект о едином регистре населения. В регистре будут храниться базовые сведения гражданах: ФИО, пол, дата, место рождения и смерти, а также реквизиты этих записей, СНИЛС, ИНН, семейное положение и родственные связи. Специалисты по информационной безопасности предостерегают: создание такой гигантской базы данных может спровоцировать утечки. Юристы считают, что в таком случае гражданам будет сложно привлечь государство к ответственности.

Вести регистр населения будет ФНС на основании данных МВД, Минобороны, Минобрнауки, ФОМС, ПФР и других ведомств. "В настоящее время в Российской Федерации отсутствует единый централизованный информационный ресурс, содержащий базовые сведения о населении Российской Федерации, а также предоставляющий возможность путем информационного взаимодействия с иными информационными ресурсами получения полных и достоверных сведений о физическом лице, необходимых для реализации, в том числе, контрольной функции налоговых органов", - говорится в пояснительной записке к закону.

Согласно записке, сведения об одном физическом лице в регистре образуют одну запись, которую подпишут усиленной электронной подписью уполномоченного органа. Будет это подпись ФНС или другого ведомства в документе не уточняется. По мнению разработчиков закона, создание ресурса о населении обеспечит достоверность и актуальность информации о гражданах; сократит сроки оказания госуслуг и количество мошенничеств с соцподдержкой и уплатой налогов; повысит собираемость платежей в бюджет страны.

Федеральный закон не прописывает четких технических требований к хранению данных. Это вопрос подзаконных актов, а также практики, так как главным мерилом безопасности хранения персональных данных является наличие или отсутствие утечек, объясняет владелец юридической фирмы "Катков и партнеры" Павел Катков. "В данном случае государство будет оператором персданных и будет отвечать за их сохранность. Особый статус такого субъекта не дает ему специальных прав на разглашение данных. Вместе с тем очевидно, что судиться с ФНС будет сложнее, чем с рядовым оператором персданных", - предупреждает юрист.

Закон о персональных данных в ст. 24 предусматривает возможность возмещения морального вреда. "Была некоторая судебная практика по взысканию морального вреда с организации, которая передавала персональные данные коллекторским агентствам. Но практика взыскания убытков и морального вреда с государства за раскрытие персональных данных мне не известна, - рассказал адвокат Александр Титов. - Кроме того, доказать обстоятельства утечки этих данных именно по вине ФНС на мой взгляд будет довольно сложно".

По его словам, никаких новых сведений о населении государство не получит. База будет их только аккумулировать. То есть как до ее создания, так и после, на сам факт вмешательства государства в жизнь человека новый регистр не повлияет.

"Несмотря на критику данного законопроекта,который позволяет ФНС аккумулировать большие массивы данных, следует признать, что документ носит скорее технический характер, - уверен специалист юридической фирмы Axis Pravo Алексей Сулин. - Единый информационный ресурс формируется для хранения и обработки данных, которыми уже располагают министерства и ведомства. Ресурс не будет содержать сведений, который бы отсутствовали, то есть его ведение по сути не привносит ничего нового. Речь о том, что все эти сведения будут храниться в одном месте. В этой связи вопрос о соблюдении законодательства о персональных данных остро не стоит". Госорганы получат быстрый доступ к максимальному количеству сведений о каждом гражданине.

Обезопасить содержащиеся в базе данные от утечки можно будет в том числе средствами DLP, говорит представитель "Ростелеком-Солар" Алексей Кубарев. "Что касается целостности, здесь применимы средства шифрования, контроля доступа, технологии блокчейна", - предлагает специалист. Директор экспертно-аналитического центра InfoWatch Михаил Смирнов убежден, что более важная задача, чем утечки - обеспечить достоверность данных. "Представьте, кому-то поставят галочку с льготами, кому-то уберут, кому-то изменят статус… То есть защита и документирование этих действий является ключевой в плане обеспечения безопасности информации, особенно при обеспечении межведомственного взаимодействия", - обращает внимание эксперт InfoWatch.

По мнению аналитика компании "Доктор Веб" Вячеслава Медведева, заявленных целей создание еще одного реестра данных достичь не позволит. "База данных создается в целях сокращения времени обмена информации между ведомствами. Но при этом в самих ведомствах зачастую электронный документооборот отсутствует", - напоминает эксперт по информационной безопасности. Таким образом, чтобы сформировать запрос внутри ведомства все равно будут создавать документы и руководство будет утверждать их в бумажной форме и хранить на листах. Искать данные в архиве в случае необходимости также будут без электронного документооборота.

Вячеслав Медведев предупреждает, что создавать такую базу с точки зрения утечек персданных - небезопасно. По словам специалиста, наиболее эффективным было бы создание стандарта на электронный межведомственный документооборот. "Опасно даже не количество баз, а отсутствие единого на них стандарта. Что не позволяет с легкостью интегрировать их в последствии. Утечки же следствие низкой зарплаты. Стоимость данных перекрывает с точки зрения похитителя риски от потери работы", - сказал представитель "Доктор Веб".

Анастасия Самсонова