Законодательная база для защиты цифровых данных

Дочь сказала мне, что с марта следующего года заболевших людей будут без их разрешения вносить в некий единый государственный регистр заболеваний. Я не поверила – разве такое возможно в правовой стране, где есть законы о врачебной тайне и защите персональных данных?

Полезла в интернет и нашла Постановление Правительства №822 от 31 мая 2025. Общественное обсуждение проекта должно было быть закончено к 28 сентября. То есть, надо полагать, оно уже закончено. Однако я что-то не слышала ни об обсуждении, ни о широком общественном резонансе по этой теме.

Поиск обсуждения в интернете выдал несколько ссылок на СМИ с официальным анонсом и вялыми комментариями какого-то случайного набора экспертов — что, может быть, данное постановление слегка противоречит некоторым российским законам.

В переводе с бюрократического на русский это означает, что любой человек, который обратился за помощью к врачу по вышеперечисленному поводу или даже подозрению на таковой — автоматически попадает в Регистр. Данные вносятся без согласия и без ведома пациента.

И убрать себя оттуда — нельзя. Исключений не предусмотрено.

При этом, если изучить «Состав информации и обобщенных сведений о пациентах, размещаемых в федеральном регистре лиц с отдельными заболеваниями», то видна удивительная вещь. Чтобы стать пациентом с психическими заболеваниями, например, достаточно установить: «Факт проведения пациенту патопсихологического исследования (с указанием даты проведения и результатов такого исследования)» или «Факт наличия у пациента суицидальных мыслей и намерений…» То есть обратились к врачу с просьбой об исследовании — всё, готово, ты — псих в Регистре. Или, не дай Бог, поделился с врачом о плохих мыслях — добро пожаловать в регистр с очень нехорошей пометкой.

Вопрос: Минцифры России предложило ввести запрет на распространение сведений, которые могут использованы для несанкционированного применения. ИБ-компании под угрозой?

Есть опасения, что компании по информбезопасности могут подпасть под эту регуляторику, чего, конечно, нельзя допустить. Сейчас несколько инициативных групп, и через Ассоциацию разработчиков программных продуктов мы с этим работаем, и Ассоциация защиты информации выступила, и еще несколько форумов обсуждали, что нужно сделать такие формулировки, чтобы они не включали бы специалистов и компании по информбезопасности, потому что иначе будет нонсенс. Как мы можем выполнять свою работу, если нам бьют по рукам? Что мы не можем куда-то ходить, что-то анализировать, потому что для того, чтобы бороться с оружием противника, нужно понимать, как это оружие работает.

Если вести расследования утечек только в рамках оперативного законодательства, то невозможно провести оперативно-разыскные мероприятия, которые необходимы для глубинного расследования утечек. Эти мероприятия можно провести только в рамках уголовного дела. Поэтому надо начинать уголовные дела и уже там разбираться, что произошло, как произошло.

Утечка данных в современном мире несет, вообще-то, угрозу жизни. Это совершенно другой риск. И, я считаю, для нас как для страны это вызов. Не случайно Госдума сейчас занимается резким ужесточением законов. Я думаю, что закон будет ужесточен и с точки зрения штрафов, накладываемых на корпорации, допустившие утечки, и с точки зрения личной ответственности лиц, допущенных к данным, которые непосредственно могли быть вовлечены в инцидент. Я считаю, что ответственность должна быть, конечно, в рамках уголовного права. Потому что в противном случае это будет не очень больно. Штрафы в нашей жизни людей не пугают и административная ответственность тоже.

Думаю, у нас должен быть закон про цифровую идентичность граждан, закон о праве на тайну идентичности, закон об обороте пользовательских данных. Они должны действовать на всей территории страны. Должен появиться большой «цифровой кодекс». Эта сложная работа еще впереди.

У нас есть норма о защите частной жизни в Конституции, недавно в п. «м» ст.71 включили тезис о том, что данные должно защищать государство. Но пока законы на эту новую норму не разработаны. Есть закон 152-ФЗ, который регулирует сбор и использование персональных данных. Однако закон защищает только те данные, которые явно помечены как персональные. А данные с камер видеонаблюдения или собираемые платформами под действие этого закона не подпадают.

Поэтому подавляющая часть сбора и использования персональных данных происходит сейчас в серой зоне, не охваченной законом или вниманием правоохранителей. Использования личных данных платформами, площадками, государственными институциями в России никак не регулируется. Это ведет к злоупотреблениям и неправомерному использованию данных, к рискам дискриминации граждан по самым разным признакам. Если не остановить сбор персональных данных кем попало, нас ждут цифровые «Фукусимы».

Сейчас каждый регион обращается с цифровыми данными граждан так, как захочет. Если персональные данные еще как-то пытаются защищать, то мета-данные, например, данные с камер наблюдения или данные разных электронных анкет обрабатываются каждым регионом в меру своего понимания. И это неправильно. Должны быть единые федеральные законы, действующие одинаково на всей территории России, — про цифровую идентичность россиян, право на ее тайну, про примат человека над технологиями, — которые бы регулировали и ограничивали оборот пользовательских данных российских граждан в интернете, не допускали бы дискриминации граждан на основании этих данных, создания социальных рейтингов и т. д. Сейчас у нас этих законов нет. А их должно быть много. Когда в Конституции появилась такая норма, то понятно, что это уже федеральное ведение, а не мнение каждого региона, и ясно, что должен быть единый российский цифровой кодекс.

Нам в стране обязательно надо ужесточать ответственность. Потому что если мы будем сидеть в этой ситуации, и ничего не делать, и никого не наказывать, и при этом мы будем строить бесконечно огромные системы хранения данных, у нас вообще все украдут.

По статистике Центрального банка, за прошлый год количество операций «без согласия клиента», а по-русски это воровство денег со счетов клиента, рост этого количества за год составил 52%. Ну, вы понимаете, это просто катастрофа какая-то, когда клиенты не могут отвечать, что у них завтра деньги не украдут. То есть категорически должна быть усилена уголовная ответственность за утечку данных.