Комментарии к изменениям в ФЗ №149-ФЗ «Об информации, информационных технологиях и о защите информации»

в 18:23, , рубрики: законодательство и ИТ, информационная безопасность, эцп

Добрый день, коллеги!

Сегодня хочу высказаться о новом законопроекте порожденном Минкомсвязи России. Заранее прошу прощения за огромные объемы законодательного текста, поскольку приведу интересные отрывки в виде цитат. Чтобы уважаемые читатели не затрудняли себя поиском законопроекта в Консультанте.
Преамбула проекта она обычная. Речь идет о внесении изменений и дополнений в федеральный закон N 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Дальше можете пропустить, если лень поглощать бюрократическую речь. Но лучше вчитайтесь, а то потом будет поздно. Госдума это «не место для дискуссий», так что, скорее всего и закон нас ждет такой же, как и его проект.
Итак:
2) статью 2 дополнить пунктами 18.1 — 18.2 следующего содержания:
«18.1) идентификатор — уникальное обозначение сведений о лице, необходимое для определения такого лица путем применения технических и (или) технологических способов.;
18.2) идентификация, аутентификация лица — совокупность мероприятий по установлению идентификаторов и (или) сведений о лице, сопоставлению данных сведений с идентификатором или проверке данных сведений, а также по проверке лица на принадлежность лицу идентификатора (идентификаторов) посредством сопоставления идентификатора (идентификаторов) с имеющимися сведениями о лице, и установления обоснованности использования лицом идентификатора (идентификаторов), осуществляемых в соответствии с настоящим Федеральным законом, иными федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением сторон, в результате которых лицо считается установленным.»; ( а где про ЭЦП – я)

3) дополнить статьями 14.2 — 14.3 следующего содержания:

«Статья 14.2. Цифровой профиль

1. Цифровой профиль является совокупностью сведений о гражданах и юридических лицах, содержащихся в информационных системах государственных органов и организаций, осуществляющих в соответствии с федеральными законами отдельные публичные полномочия, а также в единой системе идентификации и аутентификации.
Инфраструктурой цифрового профиля является совокупность информационных систем в единой системе идентификации и аутентификации, обеспечивающих доступ к цифровому профилю.
2. Инфраструктура цифрового профиля создается в целях обмена сведениями в электронной форме между физическими лицами, организациями, государственными органами, органами местного самоуправления.
3. С помощью инфраструктуры цифрового профиля, в том числе, обеспечивается:
1) идентификация и аутентификация физических и юридических лиц;
2) доступ к цифровому профилю и предоставление сведений, входящих в цифровой профиль, в электронной форме физическим и юридическим лицам;
3) предоставление и обновление по запросу государственных органов, органов местного самоуправления, организаций, осуществляющих в соответствии с федеральными законами отдельные публичные полномочия, и иных (каких ИНЫХ? – мой комментарий) организаций сведений о физическом или юридическом лице, содержащихся в цифровом профиле, в том числе содержащихся в государственных информационных системах, информационных системах организаций, осуществляющих в соответствии с федеральными законами отдельные публичные полномочия;
4) получение и отзыв согласия на обработку персональных данных граждан и сведений о юридических лицах в случаях, предусматривающих получение сведений о гражданине или юридическом лице с использованием инфраструктуры цифрового профиля;
5) предоставление сведений для формирования запросов на получение государственных и муниципальных услуг или исполнение государственных и муниципальных функций;
6) хранение сведений о гражданах и юридических лицах, в том числе результатов предоставления государственных и муниципальных услуг в электронной форме, в порядке, устанавливаемом Правительством Российской Федерации.
4. В случаях, предусмотренных законодательством Российской Федерации, согласие гражданина или юридического лица на получение сведений о них с использованием инфраструктуры цифрового профиля не требуется. В иных случаях, предусматривающих получение сведений с использованием инфраструктуры цифрового профиля, сведения о гражданине или юридическом лице с использованием инфраструктуры цифрового профиля предоставляются с согласия гражданина или юридического лица.
5. Сведения о гражданах и юридических лицах, хранящиеся в инфраструктуре цифрового профиля, предоставляются в него и обновляются в автоматическом режиме государственными органами, организациями, осуществляющими в соответствии с федеральными законами отдельные публичные полномочия, посредством единой системы межведомственного электронного взаимодействия.
Государственные органы, организации, осуществляющие в соответствии с федеральными законами отдельные публичные полномочия, обязаны предоставлять в инфраструктуру цифрового профиля и обновлять указанные сведения на постоянной основе в срок, не превышающий 15 секунд с момента внесения изменений в соответствующие сведения.
Ответственность в соответствии с законодательством Российской Федерации за достоверность, полноту и актуальность предоставляемых сведений несут указанные органы и организации.
6. Государственные органы, организации, осуществляющие в соответствии с федеральными законами отдельные публичные полномочия, обязаны предоставлять сведения о гражданах и юридических лицах, не содержащиеся в инфраструктуре цифрового профиля, по запросу, направленному с ее использованием. Предоставление таких сведений осуществляется в электронной форме посредством единой системы межведомственного электронного взаимодействия в срок, не превышающий 15 секунд с момента направления запроса. Получение указанных сведений физическими и юридическими лицами осуществляется с использованием инфраструктуры цифрового профиля.
7. Межведомственное информационное взаимодействие осуществляется в целях предоставления государственных и муниципальных услуг по вопросам обмена документами и информацией, в том числе в электронной форме, в соответствии с Федеральным законом „Об организации предоставления государственных и муниципальных услуг“.
8. Положение о Цифровом профиле, порядок получения и предоставления сведений с использованием инфраструктуры цифрового профиля, а также состав сведений, хранящихся в инфраструктуре цифрового профиля, определяются Правительством Российской Федерации.
9. Запросы организаций на получение сведений о гражданах и юридических лицах с использованием инфраструктуры цифрового профиля осуществляются как на безвозмездной, так и на возмездной основе. Случаи, размер и порядок осуществления платежей за направление соответствующих запросов вправе установить Правительство Российской Федерации.

Статья 14.3. Порядок идентификации и аутентификации лица

1. В случаях, предусмотренных настоящим Федеральным законом, иными федеральными законами, принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации или субъекта Российской Федерации либо соглашением сторон может быть осуществлена идентификация и аутентификация лица путем применения в том числе основного документа, удостоверяющего личность гражданина Российской Федерации на территории Российской Федерации (далее — удостоверение личности гражданина), либо одного или нескольких идентификаторов, позволяющих достоверно определить соответствующее физическое или юридическое лицо.
2. Требования к удостоверению личности гражданина, в том числе допустимые формы удостоверения личности гражданина, состав полей удостоверения личности гражданина и состав сведений, включаемых в удостоверение личности гражданина, порядок внесения, изменения и исключения таких сведений, а также порядок прекращения действия удостоверения личности гражданина, порядок использования удостоверения личности гражданина устанавливаются Правительством Российской Федерации.
Учет сведений, включаемых в удостоверение гражданина, осуществляется с использованием государственной информационной системы, порядок создания, развития и эксплуатации которой устанавливается Правительством Российской Федерации. Состав сведений, предоставляемых в указанную в настоящем абзаце информационную систему, предоставляемых из такой системы, а также положение и оператор (операторы) указанной информационной системы определяются Правительством Российской Федерации
3. Присвоение сведениям о физическом или юридическом лице идентификаторов осуществляется в соответствии с федеральными законами, принятыми в соответствии с ними нормативным правовым актом либо соглашениями сторон.
4. При совершении и исполнении гражданско-правовых сделок их стороны вправе в отношениях между собой использовать идентификаторы в соответствии с соглашением между ними.
5. Если иное не предусмотрено федеральным законом, лица вправе осуществлять идентификацию и аутентификацию физических и юридических лиц с использованием сведений, полученных от организации, указанной в части 6 настоящей статьи на основании и в порядке, предусмотренных соглашением.
6. Лицом, которое подтверждает верность идентификатора или ранее проведенной идентификации и аутентификации лица, могут выступать только:
а) кредитные организации, операторы подвижной радиотелефонной связи, операторы связи, занимающие существенное положение в сети связи общего пользования, которые имеют право самостоятельно оказывать услуги связи по передаче данных;
б) операторы государственных информационных систем;
в) иные организации, соответствующие установленным Правительством Российской Федерации требованиям. Порядок подтверждения соответствия организаций таким требованиям определяются Правительством Российской Федерации.
7. Предоставление организацией, указанной в части 6 настоящей статьи, в целях идентификации и аутентификации физического лица сведений о нем допускается с согласия такого физического лица, которое может быть дано в позволяющей подтвердить факт его получения форме. В случае, если идентификация и аутентификация лица необходима в силу федерального закона или требуется по заявлению лица, то, если иное не предусмотрено федеральным законом, сделка не совершается и (или) не осуществляется вступление в иные правоотношения, если такое согласие не было предоставлено.
8. Результат идентификации и аутентификации лица при помощи информационно-технологических средств может подтверждаться электронным документом, предоставляемым посредством информационной системы, обеспечивающей дистанционную идентификацию и аутентификацию лица. Случаи, когда такое подтверждение является обязательным, определяются Правительством Российской Федерации».

Статья 2

В Федеральном законе «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451):
1) В пункте 5 части 1 статьи 6 слова «исполнения договора» заменить словами «исполнения сделки»; слова «а также для заключения договора» заменить словами «для совершения сделки»; слова «или договора» заменить словами «или сделки»; дополнить следующим текстом ", а также для проведения переговоров о совершении соответствующей сделки";
2) статью 9 дополнить пунктом 5.1 следующего содержания:
«5.1 При обработке персональных данных с использованием инфраструктуры цифрового профиля, если требуется согласие субъекта персональных данных на обработку персональных данных, субъект персональных данных дает согласие на их обработку в инфраструктуре цифрового профиля в форме электронного документа, подписанного усиленной квалифицированной электронной подписью (категорически верно – мой собственный комментарий) или простой электронной подписью, ключ которой получен при личной явке в соответствии с правилами использования простой электронной подписи при обращении за получением государственных и муниципальных услуг в электронной форме, устанавливаемых Правительством Российской Федерации. Отзыв такого согласия осуществляется субъектом персональных данных в инфраструктуре цифрового профиля.»;

Теперь несколько моих рассуждений на все скопированное.

Прежде всего, радует сам факт появления подобных законопроектов. Количество информации, которая концентрируется в руках государства и корпораций стремительно растет и постепенно переходит в новое качество, которое позволяет управлять массами людей на новом уровне. И они даже ничего не заметят. И здесь, конечно, прописывание хоть каких-то алгоритмов доступа к цифровому профилю гражданина со стороны государства, корпораций и ИНЫХ (каких иных и как их определить) организаций это прекрасно. Судя по всему в «дивном новом мире» доступ к цифровым профилям будет и главной властью, и главным источником денег.
Когда-то колонизаторы в колониях просто тупо грабили и изымали все подряд, потом признаком колонии стал неограниченный доступ колонизаторов к рынкам сбыта, а сейчас дело идет к тому, что колония это страна, все цифровые данные и профили которой доступны для обработки и анализа кому-то со стороны. Люди будут совершать в своих уютных смартфонных и десктопных реальностях только те действия, которые выгодны большим зарубежным дядям. У России пока есть надежда, что «большие дяди» хотя бы будут нашими. Очень бы хотелось видеть в законе и порядок доступа к цифровым профилям граждан, а то как-то жить становится неуютно.
Но надо как то побольше писать про технологии аутентификации прямо в законе. То есть согласие на обработку персональных данных с помощью усиленной ЭЦП они прописали и это отлично. Но по моему мнению, и «идентификацию, аутентификацию лица» следовало бы законодательно прописать про использование ЭЦП. Ничего более надежного, чем железная штуковина плюс пароль из головы пока не придумано. И то что они это не указaли открывает простор для всякой богопротивной штуки типа аутентификации лица через распознавание лица.

Автор: Oleg_HiddenFiles

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js