В статье рассматривается влияние достижений современных информационных технологий на развитие отечественного законодательства в контексте обеспечения информационной безопасности.
Ключевые слова: искусственный интеллект, информационная безопасность, интернет, электронная подпись, защита данных.
The impact of «artificial intelligence» technologies on the development of the legislation of the Russian Federation
Abstract: The article discusses the impact of the achievements of modern information technologies on the development of domestic legislation in the context of ensuring information security.
Keywords: artificial intelligence, information security, internet, electronic signature, data protection.
В Доктрине информационной безопасности Российской Федерации[1] под «информационной сферой» понимается совокупность информации, объектов информатизации, информационных систем, сайтов в «Интернет», сетей связи, информационных технологий и субъектов, деятельность которых связана с формированием и обработкой информации, развитием и использованием названных технологий, обеспечением информационной безопасности, а также совокупность механизмов регулирования соответствующих общественных отношений.
В числе мер по обеспечению информационной безопасности в Российской Федерации названы среди прочего сугубо правовые меры по обнаружению, предотвращению, отражению информационных угроз и ликвидации их последствий. В Доктрине также подчеркивается, что вероятность информационных угроз существенно повышается в связи с практикой информационных технологий без их увязки с обеспечением информационной безопасности. В качестве стратегических направлений было определено развитие национальной системы управления российским сегментом сети «Интернет», повышение защищенности критической информационной инфраструктуры и устойчивости ее функционирования, а также обеспечение безопасности информации, передаваемой по ней и обрабатываемой в информационных системах на территории Российской Федерации. Год спустя в России был принят специальный Закон о безопасности критической информационной инфраструктуры[2].
С октября 2019 г. в России начал действовать т.н. Закон о цифровых правах, предусматривающий соответствующие поправки в Гражданский кодекс Российской Федерации (ГК РФ). Так, в новой статье 141.1 ГК РФ установлено, что содержание и условия осуществления цифровых прав будут определяться правилами информационной системы, которая должна отвечать признакам, установленным законом. Обладателем цифрового права признается тот, кто в соответствии с правилами информационной системы имеет возможность распоряжаться этим правом. Распоряжение цифровым правом возможно только в информационной системе без обращения к третьему лицу. Кроме того, письменная форма договора приравнивается к заключению сделки посредством электронных или иных технических средств. Однако, запрещается составление завещания с использованием электронных или иных технических средств. Наконец, этим законом в ГК РФ введены «самоисполняемые» сделки, или смарт-контракты, которые считаются заключенными и действительными когда совершаются дистанционно, например, путем отправки СМС или заполнения формы в Интернет. Вводится конструкция договора об оказании услуг по предоставлению информации, с условием о ее неразглашении третьим лицам, что призвано обеспечить защиту сбора и обработки значительных массивов обезличенной информации (Big Data).
С 1 января 2020 г. в Российской Федерации введены «электронные трудовые книжки», в связи со вступлением в силу Федерального закона от 16 декабря 2019 г. № 439-ФЗ «О внесении изменений в Трудовой кодекс Российской Федерации в части формирования сведений о трудовой деятельности в электронном виде». Он предусматривает постепенный переход к формированию основной информации о трудовой деятельности и трудовом стаже работника в электронном виде вместо бумажных трудовых книжек. Такие электронные трудовые книжки призваны избавить бизнес, отделы кадров компаний от излишних трудозатрат. Кроме того, они помогут минимизировать риск потери работниками сведений о своем трудовом стаже, освободить их от обязанности самим заниматься восстановлением данных о том, где и сколько они работали.
В начале 2021 г. в парламент был внесен законопроект о доступе разработчиков искусственного интеллекта к государственным большим данным. Эта инициатива предполагает открытие доступа к государственным информационным системам, ресурсам и реестрам, что в свою очередь поднимает вопрос о новом уровне качества анонимизации данных. Так, например, неоценимую помощь для малого и среднего бизнеса в выборе оптимальной локации для торговой точки оказало бы, наряду с картографическими данными и сведениями о потребителях, разрешение доступа к данным Росреестра о категории стоимости недвижимости, к данным операторов фискальных данных (по транзакциям в рознице) и других дата-сетов[3].
В настоящий момент активно разрабатывается комплексное регулирование т.н. экспериментальных правовых режимов. Так, 31 июля 2020 г. был принят Федеральный закон №258-ФЗ «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации». В нем под таким режимом понимается применение в отношении определенного круга лиц специального регулирования в сфере цифровых инноваций на определенный промежуток времени.
В свою очередь спецрежим означает нераспространение отдельных юридических актов или норм права, хотя и содержащих обязательные требования, например, по лицензированию, сертификации, аккредитации, получению допусков, разрешений, по способам идентификации участников сферы цифровых инноваций.
С 2021 г. проходил эксперимент по дистанционному использованию усиленной неквалифицированной электронной подписи при предоставлении услуг и осуществлении иных действий с использованием ЕСИА (Постановление Правительства РФ от 15 июля 2021 г. № 1207 «О проведении эксперимента по использованию усиленной электронной подписи при предоставлении услуг и осуществлении иных действий с использованием федеральной государственной информационной системы «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» ).
Постановление предусматривает проведение эксперимента в два этапа:
— первый этап — с 20 июля 2021 г. по 31 марта 2022 г.;
— второй этап — с 1 апреля 2022 г. по 31 июля 2022 г.
С помощью указанной подписи можно в том числе совершать сделки с использованием портала госуслуг, заключать договоры аренды федерального имущества, подписывать документы в целях трудоустройства, предоставлять налоговую отчетность граждан.
С 30 июне 2020 г. в России вступил в силу закон о получении усиленной неквалифицированной электронной подписи[4]. В нем предусматривается выдача удостоверяющим центром сертификатов ключей для проверки электронных подписей. Так, сертификат может быть выдан по заявлению в электронной форме без личного присутствия заявителя в отношении усиленных неквалифицированных электронных подписей. Но при этом идентификация личности проходит дистанционно по данным простой электронной подписи гражданина, ключ которой был ранее получен при личной его явке и при условии взаимодействия удостоверяющего центра с единой системой идентификации и аутентификации.
Напомним, что «информация в электронной форме», подписанная простой электронной подписью или неквалифицированной электронной подписью, признается «электронным документом», равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в установленных случаях в соответствии с соглашением участников электронного взаимодействия (ст. 5 и 6 Федерального закона от 06.04.2011 №63-ФЗ «Об электронной подписи»). Например, в Российской Федерации жалобы на решения регистрирующих органов о госрегистрации и об отказе в ней могут подаваться в электронном формате, через интернет-сервисы под названием «Обратиться в ФНС России» или «Личный кабинет налогоплательщика» на сайте Федеральной налоговой службы Российской Федерации. При этом электронная жалоба должна быть подписана только усиленной квалифицированной электронной подписью заявителя[5].
С 1 июля 2020 г. в Москве начался пятилетний эксперимент по внедрению технологий ИИ на территории столицы в рамках Национальной программы «Цифровая экономика Российской Федерации»[6]. Закон № 123-ФЗ регламентирует условия для разработки и внедрения технологий ИИ, последующего использования результатов его применения.
Особую актуальность во время пандемии COVID-19 приобрела проблема этичности внедрения цифровых решений и риски ИИ-технологий.
В декабре 2019 г. в рамках Недели российского интернета (RIW-2019) был принят «Кодекс этики использования данных» в Российской Федерации, одним из разработчиков которого выступила «Ассоциация больших данных»[7]. Этот свод профессиональных стандартов этического поведения закрепил принципы взаимодействия граждан, представителей бизнеса и государства при сборе, обработке, использовании и хранении данных. Кодекс направлен на создание базы для регуляторных инициатив в области использования данных, а также общих правил и границ допустимого поведения профессионального сообщества в связи с оборотом пользовательских, промышленных и других типов данных. В их числе принципы законности использования данных, добросовестности, профессиональной ответственности, недопустимости вмешательства в частную жизнь при обработке данных и т.д.
В «Кодексе этики» среди норм профессиональной этики хранения данных закрепляется также обеспечение надлежащего уровня защищенности используемых средств и методов, проведение расследования несанкционированного доступа к данным, добросовестный обмен опытом о способах противодействия деликтам, нарушающим информационную безопасность. Также были добавлены принципы при обработке и использовании данных: недопущение умышленной дискриминации граждан, запрет на фальсификацию данных, предотвращение вреда или ущерба пользователям, автоматизированная обработка данных граждан только при наличии их письменного или электронного согласия, запрет на введение пользователей в заблуждение относительно того, что они участвуют в исследовании рынка.
Профессиональное сообщество уже оценило этот этический кодекс в качестве приемлемой основы для саморегулирования участников рынка данных, способного нормализовать их взаимодействие между собой и с гражданами, юридическими лицами и государством в сфере индустрии данных.
Поясним также, что в Российской Федерации действует специальное законодательство о безопасности критической информационной инфраструктуры (далее – КИИ), в том числе при проведении в отношении ее компьютерных атак. К субъектам КИИ относятся: госорганы и госучреждения, российские юридические лица и ИП, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы в сфере здравоохранения, науки, транспорта, связи, энергетики, финансового рынка, топливно-энергетического комплекса, атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.
Выделяется особый состав деликта под названием «компьютерный инцидент», под которым понимается факт нарушения и (или) прекращения функционирования объекта КИИ, сети электросвязи или нарушения безопасности обрабатываемой информации, в том числе произошедший в результате компьютерной атаки. При этом в сетях электросвязи КИИ федеральный орган исполнительной власти организует установку средств, предназначенных для поиска признаков компьютерных атак.
Правовое регулирование отношений в области обеспечения безопасности КИИ в Российской Федерации дополняется Федеральным законом от 07.07.2003 №126-ФЗ «О связи». Кроме того, в Уголовном кодексе Российской Федерации выделен особый состав по неправомерному воздействию на критическую информационную инфраструктуру Российской Федерации (ст. 274.1) в Главе 28 «Преступления в сфере компьютерной информации». Так, за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации в сфере КИИ грозит принудительными работами на срок до пяти лет либо лишением свободы на срок до шести.
В текущий момент Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации разрабатывает пакет документов по технологической независимости КИИ РФ[8]. В него входит проект Указа Президента Российской Федерации, в котором предусматривается утверждение требований к программному обеспечению и оборудованию на объектах КИИ, и порядок перехода на преимущественное использование российского ПО.
В середине 2019 г. Правительство Российской Федерации в рамках федерального проекта «Нормативное регулирование цифровой среды» подготовило законопроект «О национальной системе управления данными и о внесении изменений в Федеральный закон “Об информации, информационных технологиях и о защите информации в Российской Федерации”»[9]. В нем содержится новая терминология и закрепляются такие понятия, как «государственные данные», «обработка государственных данных», «государственный информационный ресурс» и др.
Летом 2020 г. был принят Федеральный закон о создании единого федерального информационного регистра сведений о населении Российской Федерации[10]. В этот регистр входят все сведения о гражданах Российской Федерации, иностранцах и лицах без гражданства, временно или постоянно проживающих в Российской Федерации, признанных беженцами или получивших временное убежище в России, а также о временно пребывающих иностранных гражданах для трудовой деятельности. С одной стороны, создание такого централизованного информационного ресурса позволяет сократить сроки оказания государственных услуг, повышение собираемости платежей в бюджеты, качественно новый уровень расчета и начисления налогов, сокращение мошеннических действий при получении мер социальной поддержки и уплаты налогов и т.д.
Но, с другой стороны, здесь встает проблема о конфиденциальности и надлежащем уровне защиты сведений, которые войдут в эту Базу больших данных, а именно: персональные данные физических лиц, в том числе ФИО, дата и место рождения и смерти, пол, гражданство и семейное положение; реквизиты паспорта и документов об образовании и квалификации; учетная запись на Едином портале госуслуг; данные о постановке на налоговый и воинский учет; и др. Ведь по этому закону ФНС России обязана сообщать сведения из Регистра по запросам суда, прокуратуры, органов следствия, органов принудительного исполнения и др.
В настоящее время Банком России разработан информационный сервис по оценке риска клиентов кредитных организаций «Знай своего клиента»[11]. Данная цифровая платформа распределяет клиентов банков по зонам рисков с точки зрения проведения операций в целях финансирования терроризма или же легализации (отмывания) доходов, полученных преступным путем. Но здесь тоже встает вопрос защиты конфиденциальности данных и юридической ответственности за их неправомерное распространение. Ведь такой информацией могут воспользоваться не только банки Российской Федерации, и к тому же такие данные критически определяют режим работы с клиентом (например, принятие решения о проведении операции и открытии счета либо об отказе в этом). В то же время используя такую цифровую платформу, российские банки смогут выделять т.н. сомнительных клиентов и устанавливать незначительные и технические риски ОД/ФТ.
В 2022 году Роспатент запустил для всеобщего использования новую цифровую платформу и сервисы, которые созданы в рамках реализации национальной программы «Цифровая экономика Российской Федерации» и направлены на повышение доступности российских граждан и организаций к российской и зарубежной патентной информации и инструментам поиска в патентной и научно-технической информации. Еще один факт, что Федеральная антимонопольная служба России разработала антимонопольный пакет, учитывающий особенности влияния на конкуренцию «ценовых роботов» (программ, которые могут быть основаны на алгоритмах ИИ)[12].
Сегодня в Российской Федерации широко обсуждается проблема некачественного состояния информационной безопасности. Отмечается невысокий уровень внедрения отечественных разработок и недостаточный профессионализм в сфере информационной безопасности, низкая осведомленность и инертность российских граждан в вопросах обеспечения личной информационной безопасности. Все еще не имеют комплексной основы мероприятия по обеспечению безопасности информационной инфраструктуры в Российской Федерации, включая использование российских информационных технологий и ПО. Отсутствует полноценная система административно-правового и нормативно-технического регулирования в области ИИ. Имеется несовместимость ряда положений российского законодательства о защите данных с технологиями ИИ.
Дискутируется проблема защиты данных в цифровых технологиях и усиления режима конфиденциальности информации. В Российской Федерации любые действия (операции) для исследовательских целей с персональными данными должны осуществляться только с условием обязательного их обезличивания (ст. 6 Закона «О персональных данных»).
Еще одним нововведением в законодательстве о персональных данных стало расширение условий обработки специальных категорий персональных данных. Это те, которые касаются расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
И здесь встает проблема особого юридического статуса такой специальной категории персональных данных. Ведь при нарушении условий их обработки могут наступить особо негативные последствия для субъекта. Например, обработка персональных данных, касающихся состояния здоровья человека, допускается только, если это происходит после обезличивания персональных данных, и требуется в целях повышения эффективности государственного управления.
Тревожным аспектом применения ИИ-технологий остается проблема безопасности и соблюдения строгого контроля за их деятельностью. Хотя это противоречит самой сути функционирования ИИ. Один из аспектов данного направления дискуссии связан с усилением ответственности за правонарушения с компьютерной информацией.
Так, Фондом «Сколково» и Минэкономразвития России была внесена инициатива по дополнению Уголовного кодекса РФ в части ответственности за неправомерный доступ к охраняемой компьютерной информации и нарушение правил эксплуатации средств хранения, обработки или передачи такой информации (ч. 2 и 3 ст. 274.1 УК РФ). Дело в том, что в действующей реакции этой статьи понятие «вреда» так и не раскрыто. На практике это приводит к необоснованному привлечению к ответственности по формальным основаниям специалистов по обслуживанию объектов критической инфраструктуры. Например, сегодня за кратковременный сбой сервера или неудачное обновление программного обеспечения, в результате которого перестал работать сайт госоргана, банка или больницы, администратор сайта и владелец сервера привлекаются к уголовной ответственности, хотя бы и не было установлено общественно опасных (материального вреда) последствий. Поэтому предлагается включить в ст. 274.1 УК РФ формулировку: «причинение крупного ущерба (более 1 млн руб.)».
Другой аспект этой дискуссии связан с активным внедрением беспилотного транспорта в Российской Федерации и юридической ответственности ИИ за причиненный вред жизни и здоровью человека. Наиболее характерным примером выступает функционирование беспилотного автомобиля без инженера-тестировщика и тогда встает вопрос о распределении юридической ответственности при аварии. Практикующие юристы считают, что статьи 264 или 268 УК РФ об ответственности за нарушение правил дорожного движения или эксплуатации транспортных средств, не подходят к этим случаям аварии с участием беспилотного автомобиля. Причина заключается в строго формальном характере положений УК, который четко определяет субъектов транспортных преступлений. Одним из выходов из такой коллизии может стать квалификация причиняемого беспилотниками вредя по ч. 2 ст. 238 УК РФ, как «оказание услуг, не отвечающих требованиям безопасности, если они повлекли по неосторожности причинение тяжкого вреда здоровью либо смерть человека».
Внедрение в России «Национальной системы управления данными» открывает доступ в Интернете ко всем обрабатываемым госданным, который будет свободным и бесплатным. Кроме этого, настораживает, что информация, относящаяся к охраняемой законом тайне или ограниченная в доступе, также может быть доступна неограниченному кругу лиц, если будет преобразована в обезличенную информацию.
Мы поддерживаем внедрение экспериментального правового режима в Москве, где сконцентрировано огромное количество IT-компаний, поэтому можно более эффективно протестировать правовое регулирование. В противном случае внедрение подобных экспериментов с «цифровой песочницей» сразу в нескольких субъектах Российской Федерации, могло лишь помещать складыванию единообразной практики и реально работающего правового механизма.
Информация об авторе:
Данельян Андрей Андреевич, проректор по учебной работе и молодежной политике, заведующий кафедрой международного права Дипломатической академии МИД России, д.ю.н., профессор.
Information about the author:
Danelyan Andrey Andreyevich, Vice-Rector, Head of the Department of International Law of the Diplomatic Academy of the Ministry of Foreign Affairs of Russia, Doctor of Law, Professor.
______________________________________________________________________________________________________________________________
[1] Указ Президента РФ от 05.12.2016 № 646 «Об утверждении Доктрины информационной безопасности Российской Федерации» // СПС Гарант. URL: http://base.garant.ru/71556224/
[2] Федеральный закон от 26.07.2017 №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» // СПС Гарант. URL: http://base.garant.ru/71730198/
[3] Мельникова Ю. Разработчики ИИ прорвались к госданным // ComNews. 07.12.2020. URL: https://www.comnews.ru/content/212016/2020-12-07/2020-w50/razrabotchiki-ii-prorvalis-k-gosdannym
[4] Федеральный закон от 23.06.2020 № 183-ФЗ «О внесении изменений в статьи 1 и 3 Федерального закона «О внесении изменений в Федеральный закон «Об электронной подписи» и статью 1 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»» // URL: http://base.garant.ru/74292066/
[5] URL: http://www.garant.ru/news/1380684/т(дата обращения: 21.01.2021).
[6] Федеральный закон от 24.04.2020 №123-ФЗ «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации – городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона «О персональных данных»» // СПС Гарант. URL: http://base.garant.ru/73945195/
[7] URL: http://www.garant.ru/news/1309157/#ixzz6UXNYiZHF
[8] Проект Указа Президента РФ «О мерах по обеспечению информационной безопасности в экономической сфере при использовании программного обеспечения и оборудования на объектах критической информационной инфраструктуры» (ID: 01/03/05-20/00102172) и проекты постановлений Правительства РФ на федеральном портале проектов нормативных правовых актов. URL: https://regulation.gov.ru/
[9] Текст законопроекта и материалами к нему на Федеральном портале проектов нормативных правовых актов (ID: 04/13/08-19/00093755). URL: https://regulation.gov.ru/
[10] Федеральный закон от 08.06.2020 №168-ФЗ «О едином федеральном информационном регистре, содержащем сведения о населении Российской Федерации». URL: http://base.garant.ru/74232857/
[11] Текст информации о платформе на официальном сайте Банка России. URL: https://www.cbr.ru/press/event/?id=6837
[12] Войниканис Е.А., Семенова Е.В., Тюляев Г.С. Искусственный интеллект и право: вызовы и возможности самообучающихся алгоритмов // Вестник ВГУ. Серия: Право. 2018. № 4. С. 138-148