Вы, может быть, не знали, но вечером 25 марта закончилось общественное обсуждение законопроекта "О внесении изменений в отдельные законодательные акты (в части уточнения процедур идентификации и аутентификации)". По крайней мере до этого срока должны были приниматься предложения по законопроекту на портале нормативных правовых актов. В паспорте проекта, размещенного на портале 11 марта, значится этап "уведомление о начале разработки", а текст, что логично, отсутствует. Да и как может быть иначе? Ведь поступившие предложения необходимо проанализировать, классифицировать, согласовать между собой и с другими заинтересованными министерствами и ведомствами, а это процесс не быстрый - и только после этого следует ожидать хоть какой-то результат. То есть в лучше случае текст законопроекта должен был появиться сегодня к вечеру. А то и вообще завтра.
Ан нет!
Утром того же 25 марта на портале появился новый проект федерального закона с тем же названием, но уже безо всякого общественного обсуждения, а сразу по процедуре "независимая антикоррупционная экспертиза". Естественно с текстом. В свойствах файла указано, что последний раз он был изменен 15.02.2019 в 13:21 пользователем Boris B. Skakov, что очень напоминает имя сотрудника, ответственного за разработку первого проекта, от 11 марта - Скакова Бориса Борисовича. И вот как это понимать?
Теперь, собственно, о законопроекте. Предусматривается внесение изменений в четыре федеральных закона: "Об информации, информационных технологиях и о защите информации", "О персональных данных", "О связи" и "Об основах охраны здоровья граждан в Российской Федерации". Выписка с изменениями доступна здесь: добавленный текст выделен зелёным, убранный - красным. Что там, на мой взгляд, важно.
Во-первых, аутентификация и идентификация любых двух лиц с использованием информационных технологий при взаимодействии друг с другом или с государственными организациями и органами местного самоуправления теперь отнесена к сфере действия федерального закона. При этом использована совершенно неудобочитаемая конструкция для терминов "идентификация" и "аутентификация", которые, к тому же, объединены. И, поскольку, федеральный закон имеет большую юридическую силу, то РД ГТК "Защита от несанкционированного доступа к информации. Термины и определения" теперь, видимо, можно выбрасывать в мусорку. Зачем Минкомсвязь нанесла очередной терминологический удар - не понятно. Среди специалистов давно уже бытует мнение, что ни к чему хорошему война терминов не приведет. Желающим лучше разобраться в этом вопросе могу порекомендовать хорошую статью В.Ф. Янковой "Проблемы нормативного регулирования понятийного аппарата в сфере управления электронными документами", опубликованную в материалах III-ей Международной научно-практической конференции "Управление документацией: прошлое, настоящее, будущее".
Во-вторых, под цифровым профилем Минкомсвязь предлагает понимать совокупностью сведений о гражданах и юридических лицах, содержащихся в ИС государственных органов и организаций, осуществляющих в соответствии с федеральными законами отдельные публичные полномочия, а также в ЕСИА. Вводится также понятие инфраструктуры цифрового профиля, которая будет использоваться, помимо хранения, обновления и предоставления этих сведений, для получения и отзыва согласия на обработку персональных данных. При этом пока не ясно, как должны формироваться запросы на получение такого согласия, какой будет срок ожидания результата запроса и какова будет политика предоставления сведений, содержащих персональные данные нескольких лиц в ситуации, когда получена лишь часть согласий. По идее, организация, предоставляющая такие сведения, должна производить обезличивание данных тех лиц, которые не дали своё согласие, но на практике могут вообще отказать в предоставлении сведений.
В-третьих, для идентификации и аутентификации (ранее это, по всей видимости, называлось удостоверением личности) теперь могут применяться не только документы, но и один или несколько идентификаторов, позволяющих достоверно определить соответствующее физическое или юридическое лицо. Здесь, как мне кажется, содержится юридическая лакуна. Закон определяет "идентификатор" как "уникальное обозначение сведений о лице, необходимое для определения такого лица путем применения технических и (или) технологических способов", но должно быть ещё и достаточное условие, а его нет. Пока нет или вообще не будет - не ясно, законопроектом предусмотрена разработка целого ряда подзаконных актов и что в них будет можно только гадать.
И, в-четвертых, определяется исчерпывающий список лиц, которые могут подтверждает верность идентификатора или ранее проведённой идентификации и аутентификации лица:
- кредитные организации, операторы подвижной радиотелефонной связи, операторы связи, занимающие существенное положение в сети связи общего пользования, которые имеют право самостоятельно оказывать услуги связи по передаче данных;
- операторы государственных информационных систем;
- иные организации, соответствующие установленным Правительством Российской Федерации требованиям.
Порядок подтверждения и требования к организациям, которые будут подтверждать верность, тоже ещё только будут разработаны.
