В условиях формирования цифрового государства увеличивается объем информации, представленной в цифровой форме и содержащейся в государственных информационных системах. Усложняется информационный обмен в государственном секторе. Информация, представленная в цифровой форме и результаты ее автоматизированной обработки вытесняют бумажный документооборот при принятии государственными органами юридически значимых решений.
Поэтому Аналитический центр при Правительстве РФ, занимающийся разработкой и внедрением методологических подходов к внедрению Национальной системы управления данными, обратился за опытом к мировому сообществу и проанализировал законодательство зарубежных стран в области управления данными и описания моделей его правового регулирования.
DATA лидеры
Международная практика рейтингования государств в области управления данными в зависимости от применяемой методики сводится к нескольким подходам:
- рейтинг на основе индекса сетевой готовности (NRI) Всемирного экономического форума (первая тройка: Люксембург, Эстония, Катар),
- рейтинг развития электронного правительства (E-government development rank) Организации Объединенных Наций (первая тройка: Дания, Австралия, Республика Корея),
- рейтинг на основе индекса цифровой экономики Европейской Комиссии (I-DESI), (первая тройка: Швеция, Нидерланды, Финляндия),
- рейтинг на основе индекса Digital Economies Vary Across the World (DEVAW), (первая тройка: Норвегия, Швеция, Швейцария),
- рейтинг мировой цифровой конкуренции (The IMD World Digital Competitiveness Ranking), (первая тройка: США, Сингапур, Швеция
Для изучения зарубежного опыта правового регулирования управления данными проведен анализ рейтингов зарубежных государств в области цифровой экономики по различным системам рейтингования, по результатам которого отобраны США, Австралия, Великобритания, Германия, Франция, Эстония, Норвегия, Сингапур, Китай, Республика Корея.
Последующий анализ зарубежного законодательства проводился путем установления полноты охвата правовым регулированием различных вопросов управления данными и фактического наличия соответствующих источников права. В результате определен круг зарубежных государств, в которых правовое регулирование управления данными представляется наиболее развитым и достаточным для дальнейшего детального исследования: Великобритания, Австралия, Сингапур, Франция, Германия, Эстония.
При этом рейтинги показывают условное деление в зависимости от готовности государств к переходу к цифровой экономике, наиболее часто в которых фигурируют перечисленные страны.
К примеру, в Европейском союзе основной акцент сделан на максимально возможном открытии данных публичного сектора, включая библиотеки, музеи и архивы, данных предприятий и учреждений, данных исследований, проводимых за счет бюджетных средств, и формировании бизнес-моделей, использующих их, при одновременной повышенной охране персональных данных. В Германии, Франции и Эстонии много внимания уделено вопросам повторного использования и так называемой монетизации данных публичного сектора.. Наконец, в Сингапуре правительство высоко оценивает значение оборота данных для экономического развития, в связи с чем для решения проблем такого оборота государственные органы объединяют усилия не только между собой, но и с частными компаниями.
Режим данных
Правовое регулирование управления данными в странах ЕС континентальной правовой семьи (Франции, Германии, Эстонии) характеризуется выделением специального законодательства в сфере обеспечения доступа к информации публичного сектора и отдельного регулирования в сфере защите персональных данных. Действуют также отдельные законы о разных видах информации ограниченного доступа (о государственной тайне, о коммерческой тайне и др.)
В законодательстве стран Европейского союза большое внимание уделяется вопросам правового режима открытых данных, как особого вида информации публичного сектора, размещаемой в открытом доступе в машиночитаемом формате и предназначенной для повторного использования. Происходит унификация правовых режимов информации при помощи реализации директив и принятия регламентов. Наиболее унифицированным правовым режимом информации в странах Евросоюза является правовой режим персональных данных, обработка которых регулируется на уровне Регламента ЕС.
В странах общего права (Австралии, Великобритании) и Сингапуре также выделяются две группы режимов информации:
- общий режим (режим открытой/общедоступной информации),
- специальные правовые режимы информации.
Режим открытой/общедоступной информации присутствует практически во всех странах. Специальные правовые режимы представлены различными институтами, имеющими схожее, но не всегда одинаковое регулирование: персональные данные, личная информация, право на потребительские данные, режим государственной тайны, коммерческой тайны и др.
Игра по правилам для ГИС
В странах Европейского союза большое внимание уделяется вопросам информационного взаимодействия в публичном секторе. Приняты нормативно-правовые основы, разработаны регламенты межведомственного взаимодействия, созданы технические условия для обмена данными между разными государственными системами и определены компетентные органы, ответственные за координацию информационного взаимодействия. Развивается концепция функциональной совместимости (интероперабельности), означающая качественно новый подход к государственному управлению, основанный на информационном взаимодействии всех публичных органов в рамках единой экосистемы.
Безопасность информационного взаимодействия в странах ЕС обеспечивается национальной и наднациональной системами защиты критической информационной инфраструктуры, механизмами предотвращения инцидентов.
Основными механизмами государственного регулирования информационного взаимодействия в странах общего права (Австралии, Великобритании) и в Сингапуре являются:
- акты стратегического планирования (Стратегии развития информационно-коммуникационных технологий, Национальная правительственная стратегия обмена информацией и прочие),
- использование регулирования, основанного на общих принципах (principle-based legislation), подлежащих последующей реализации государственными структурами,
- разработка фреймворков, предоставляющих набор инструментов и методов для реализации каждого принципа,
- отсутствие законов или актов делегированного нормотворчества, непосредственно регулирующих вопросы информационного взаимодействия и относящихся ко всем государственным информационным структурам,
- регулирование ключевых вопросов информационного взаимодействия (роли участников, вопросы управления, технические протоколы) в рамках отдельных проектов по интеграции данных публичного сектора.
Моя твоя понимай!
Стандартизация форматов является ключевым направлением развития интероперабельности в странах ЕС.
В некоторых сферах (например, в финансовом секторе, в налоговых отношениях) в правовых актах стран ЕС закреплены стандарты, которые должны использовать государственные органы и хозяйствующие субъекты при информационном взаимодействии.
Особенностью подходов к регулированию унификации форматов в странах общего права и Сингапуре является разработка принципов, стандартов и руководств, которые позволяют государственным структурам решить задачу унификации форматов. В ряде случаев такие документы носят обязательный характер (например, требования к интернет-сайтам правительства), в иных – дают возможность структурам-владельцам информационных систем самостоятельно разработать регулирующие документы, руководствуясь положениями руководящих принципов.
Как заставить ГИС «не врать»?
В законодательстве стран Европейского союза предусмотрены механизмы разрешения противоречий в данных, обрабатываемых в государственных информационных системах:
- установлен запрет на дублирование сбора идентичной информации,
- определены администраторы баз данных, отвечающих за актуальность и достоверность информации (Эстония),
- выстроена система координации процедур создания и изменения государственных информационных систем,
- внедрены сервисы и платформы, которые представляют структурированные наборы данных и возможность интеграции с API (Великобритания)
- закреплена концепция «базовых данных» (Эстония), устанавливающая авторитетный источник данных,
- закреплен приоритет структурированных данных, хранящихся в информационных системах, перед информацией на бумажном носителе (Австралия).
Отдельный механизм выявления и разрешения противоречий предусмотрен в законодательстве о защите персональных данных. Субъект персональных данных вправе обратиться к оператору/обработчику с требованием удалить/исправить неактуальные персональные данные. У субъекта персональных данных также есть право оспорить юридически значимое решение, принятое на основе автоматизированной обработки его персональных данных (например, если решение было принято на основе обработки недостоверных или устаревших сведений).
В странах общего права и в Сингапуре на нормативном уровне также регламентировано право физических лиц требовать внесения изменений в сведения о гражданах, содержащихся в государственных информационных системах, установлено право на забвение (позволяет при определённых условиях потребовать удаления своих персональных данных из информационной системы), а также установлены процедуры реализации этого правомочия.
В отношении сопоставления данных, содержащихся в информационных системах государственных ведомств по инициативе самих ведомств, следует сделать вывод о разработке ведомствами протоколов на основании руководящих принципов, изданными уполномоченным органом. При этом, однако, по ряду стран информация об унифицированных процедурах разрешения противоречий в данных, содержащихся в различных государственных информационных системах, не выявлена.
Доверяй, но проверяй
В странах Европейского союза предусмотрены процедуры внутреннего и внешнего аудита государственных информационных систем.
Внутренний аудит предполагает проведение администратором информационных систем регулярных инвентаризационных мероприятий, направленных на выявление неточностей в обрабатываемых данных, дублирования информации и т.п.
Внешний аудит - главным образом контрольно-надзорные мероприятия вышестоящих органов и специально уполномоченных органов в сфере информационных технологий. По результатам внешнего аудита выносятся предписания об устранении нарушений, даются рекомендации по повышению эффективности государственных информационных систем, а виновные лица привлекаются к юридической ответственности. Реализация внутреннего и внешнего аудита обеспечивается требованиями к ведению реестров данных, координационными механизмами на этапах создания, изменения, прекращения ведения государственных информационных систем.
В странах общего права и Сингапуре выделяются следующие подходы:
- проведение аудита (проверок) на предмет соблюдения законодательства в области персональных данных, который включает проверку различных сфер регулирования и не имеет фокуса на аудите непосредственно информационных систем, в том числе государственных (Великобритания),
- аудит государственных информационных систем как одного из направлений аудита деятельности структур государственного сектора. Характерной особенностью такого аудита является упор на проверку качества (зрелости) управления информационными системами, которое должно обеспечить конфиденциальность информации, имеющейся в распоряжении структур публичного сектора, а также акцент на способности проверяемых структур обеспечить безопасность и надежность информационных систем.
Качество данных, находящихся в информационных системах, их актуальность и достоверность не являются объектом аудиторской проверки.
Когда данные можно продавать?
По общему правилу информация из государственных информационных систем в странах Европейского союза предоставляется любому лицу бесплатно. Вместе с тем взимание платы допускается при превышении установленных объемов данных, а также в иных случаях, предусмотренных законом.
Отдельные положения законодательства (в том числе на наднациональном уровне – Директивы ЕС) содержат требования к определению цены предоставления данных в случаях их монетизации: размер платы не должен превышать издержки на предоставление данных плюс «разумную добавочную стоимость», необходимую для поддержания сервиса. Информация должна предоставляться на недискриминационных началах.
В странах ЕС функционируют порталы открытых правительственных данных, которые могут быть использованы как в коммерческих, так и в некоммерческих целях.
В некоторых странах ЕС законодательство содержит положения о концессионных соглашениях и соглашениях о частно-публичном партнерстве, в которых могут содержаться условия использования данных публичного сектора (Франция).
В странах общего права и Сингапуре выявлены следующие подходы к регулированию монетизации данных в государственных информационных системах, их продажи и оказания платных услуг с их использованием:
- запрет на эксклюзивные соглашения о предоставлении доступа к данным публичного сектора, как общее правило; а также открытые и равные для всех условия доступа,
- бесплатное предоставление данных публичного сектора или взимание минимальной платы, обусловленной технической работой, связанной с ее предоставлением, как общее правило; плата взимается за специализированные услуги, связанные с данными,
- использование различных лицензий в качестве правового основания для использования данных,
- возможность коммерческого доступа к определенным наборам данных на основании разрешения уполномоченного органа, в том числе, ограничивающего возможности по повторному использованию данных.
Магазины данных
В странах ЕС отсутствует специальное регулирование в сфере электронных площадок по обмену данными (маркетплейсов). На подобные площадки распространяются общие положения договорного права и права интеллектуальной собственности, законодательства о защите персональных данных и кибербезопасности, о защите прав потребителей и о защите конкуренции, а также положения налогового законодательства о налогообложении деятельности по продаже цифрового контента.
В некоторых странах (например, во Франции) предусмотрены законодательные положения, регулирующие деятельность онлайн-платформ (товарных агрегаторов), однако они не содержат специфических требований к онлайн-платформам в сфере обмена данными.
Для стран общего права и Сингапура характерны следующие особенности:
- отсутствие «маркетплейса» на основе данных как самостоятельной правовой категории. По этой причине ни в одном из исследуемых правопорядков не выявлено специального регулирования отношений, связанных с созданием и функционированием такого рода «маркетплейсов», а также специальных норм, направленных на защиту прав потребителей и обеспечение конкуренции на подобных площадках обмена данными,
- распространение на отношения, связанные с деятельностью «маркетплейсов» данных, действующих норм конкурентного права законодательства о защите прав потребителей, законодательства о защите персональных данных, законодательства о кибербезопасности.
«Конкретные» данные
Анализ законодательства европейских государств со сложившимся правовым регулированием и правовыми традициями показал, что вопросы управления данными в нем являются логичным продолжением развития публичного права. В азиатских странах, а также таких государствах, как Австралия, публичное право находится на начальном этапе (публично правовые споры, судебные способы их решения, споры гражданин-государство). Зато сформировался сильный государственный аппарат, решающий вопросы управления данными административными методами.
С учетом наличия у Российской Федерации международно-правовых обязательств как члена Совета Европы, а также близости российской правовой системы к романо-германскому праву, эксперты тяготеют к изучению модели правового регулирования в области управления данными, которые сформированы в законодательстве государств-членов Европейского союза, таких как Франция, Германия, Эстония.
В этих государствах присутствуют тенденции к большей конкретизации правового режима публичных данных, в том числе включенных в информационные системы. К ним относятся и вопросы повторного использования и монетизации данных (предоставления за плату или использования для оказания платных услуг), а также расширения случаев, при которых данные подлежат размещению в информационно-телекоммуникационной сети «Интернет» в форме открытых данных.
При этом публичные данные и иные аналоги данного термина (например, информация публичного сектора) понимаются по-разному в различных национальных юрисдикциях, например, могут быть ограничены только данными государственных органов, или также охватывать данные различных государственных учреждений. Наряду с развитием правового режима публичных данных также происходит конкретизация правового режима персональных данных, включая потребительские данные как одной из их разновидности.
Существует и тенденция к принятию законов, регулирующих на системной основе вопросы наделения государственных данных статусом «эталонных» или «базовых», разработки порядка выявления и устранения противоречий в данных, обрабатываемых в разных государственных базах данных и информационных системах, и взаимодействия между различными государственными информационными системами.
К примеру, в Эстонии признан авторитетный (эталонный) источник конкретной информации, хранящейся в разных базах данных. Авторитетным источником информации признана база данных, целью которой был сбор этой информации. При этом законодательством запрещен сбор разными базами данных одной и той же информации. В соответствии с данной концепцией при выявлении противоречий в данных, обрабатываемых в разных базах данных, приоритет - за информацией, содержащейся в первичной базе данных.