Файлы тоже не горят
АрхивВ фокусеВажнейшее событие последних месяцев в области информационно-коммуникационных технологий - принятие Государственной Думой в первом чтении проекта закона "О персональных данных".
Важнейшее событие последних месяцев в области информационно-коммуникационных технологий - принятие Государственной Думой в первом чтении проекта закона "О персональных данных". О противоречивости, непродуманности, а местами и абсурдности этого акта можно говорить много и с любой степенью подробности (постатейный комментарий см. на privacy.hro.org/persdata/gorlaw/index_1.php). Этот закон коснется всех слоев населения России, от новорожденных до мигрантов, а также всех сфер общественной жизни, от политики до религии, поэтому любое неучтенное в нем обстоятельство следует тщательно анализировать. Однако есть аспект, о котором надо говорить особо, как о явлении, обычно выпадающем даже из поля зрения специалистов.
Законопроект базируется на заблуждении - оно состоит в том, что информация в системах персонального учета может быть, хотя бы в принципе, уничтожена. Это до неприемлемости усугубляет все остальные недостатки проекта.
Понимание того, что информация, единожды пополнившая информационную систему, останется в ней навсегда, столь же важно, как понимание того, что огнестрельное оружие специально изготавливается, чтобы убивать. Используя любой инструмент, нельзя забывать о его основных свойствах, и уж тем более нельзя это делать, когда речь идет об инструментах управления.
Информационные системы, начиная с записной книжки, создаются для того, чтобы не забыть или избежать искаженного запоминания информации. Это свойство информационных систем позволяет дополнить когнитивную способность человеческой памяти деформировать события, отделяя важную информацию от второстепенной. Для примера можно вспомнить, насколько отличаются описания одних и тех же событий разными участниками. Отсюда же и способность забывать неактуальную информацию. Человек никогда не забудет имя своей сестры, но имя преподавателя географии забыть может. Каждому знакомо раздражение, которое вызывается частым напоминанием незначительных событий. Даже такой всесторонне защищенный общественный институт, как семья, может быть разрушен, если один из супругов будет постоянно напоминать об обстоятельствах, которые другому супругу кажутся мелкими. Но человек не может без вспомогательных средств справиться с большими массивами информации, актуальность которой либо невозможно оценить, либо она может или должна быть оценена в будущем. Важнейшая функция информационных систем - законсервировать информацию для последующей оценки.
Если такая информационная система создается для принятия властных решений, чрезвычайно важно сохранить не только саму информацию, но и сведения о любых действиях с ней. В бумажных системах это обеспечивается заверением каждого документа подписью должностного лица, что позволяет в будущем установить как законность действия (полномочия чиновника), так и достоверность документа (его подлинность и отсутствие внесенных впоследствии искажений, например подчисток). В электронных системах используются совершенно иные принципы обработки информации, хотя сохраняются те же принципы ее использования. В отличие от бумажных, электронные документы не воссоздаются во множестве копий при каждом изменении отраженных в них обстоятельств, а изменяются в соответствии с изменениями этих обстоятельств.
Сама возможность удаления данных из системы влечет немыслимые для бумажной документации возможности для злоупотреблений и махинаций. Особенно опасно удаление данных, если на их основании приняты властные решения, записи о которых хранятся в других системах. Когда много систем обмениваются данными, важно сохранить возможность сверки с некоторым эталонным источником. В серьезных разработках такая возможность всегда предусмотрена.
Но это и означает, что идея уничтожения данных, использующихся в системах учета, - всего лишь миф или иллюзия. Ведь данные можно считать уничтоженными не в случае невозможности их штатного восстановления в той или иной информационной системе, а лишь при одновременном уничтожении всех копий этих данных во всех других информационных системах, включая резервные. В то же время уничтожение всех резервных копий практически означает полное обнуление информации обо всех зарегистрированных правах граждан, включая права собственности.
Получается, что на практике ни о каком уничтожении данных не может быть и речи - данные, единожды попавшие в такую систему, будут храниться в ней до полного уничтожения самой системы, в том числе материальных носителей информации, а также всех резервных и иных копий (включая копии, использующиеся в других системах). А в случае интеграции разнородных систем учета в единую систему об уничтожении данных можно говорить только при уничтожении самой информационной среды. Это обстоятельство - неизбежный и один из самых опасных факторов внедрения управленческих систем, основанных на базах персональных данных.
Надо добавить, что утрата контроля над возможностью копирования информации на любом носителе приводит к бессмысленности любых гарантий уничтожения данных - достаточно создать единственную неконтролируемую копию, ограничение тиражирования которой находится за пределами возможностей государства. А вероятность утраты контроля, сколь бы малой она ни была, со временем лишь растет. Рано или поздно утечка информации неизбежна, а значит, единственным приемлемым способом оценки такого риска было бы использование принципов оценки вероятности, используемых даже не в страховом, а в игорном бизнесе. Как известно, наибольшая надежность в этом смысле достигается при игре в рулетку, когда вероятность события не изменяется со временем пребывания игрока за игорным столом, то есть когда каждый раз игра начинается заново, независимо от предыдущих результатов (см. статью "Фортуна в колесе" К. Ветлугина, "КТ" #30-31 от 10.08.1998, и "Красное и черное" В. Гуриева, "КТ" #27-28 от 26.07.2005).
Применив этот принцип к задаче сохранения вероятности утечки, утраты или искажения данных на приемлемо низком уровне, получим несколько неожиданный вывод: нужно с некоторой периодичностью полностью уничтожать систему и создавать ее заново. При этом решается и проблема непрерывного накопления ошибок. Отметим, что именно этот подход применяется в условиях бумажного документооборота, когда для принятия властных решений каждый раз заново собираются документы. В электронных же системах, напротив, происходит непрерывная актуализация и изменение уже имеющихся данных. В бумажных системах нет нужды уничтожать архивы - архивы играют в управлении пассивную роль и актуализируются только по мере необходимости. Бумажные архивы используются для напоминания отдельных фактов, сведения о которых сохранены в неизменном виде. Архивы сплошь и рядом противоречат друг другу (да простят меня архивариусы - это не их вина, а свойство самих архивов), сведения в них собираются с большими интервалами и фрагментарны. Поэтому бумажные архивы не годятся для принятия решений в автоматизированном режиме. Зато при когнитивной обработке этих фрагментов чиновниками, с учетом здравого смысла и реального состояния правоотношений, вполне можно составить картину, достаточную для принятия решения. Осознанно или неосознанно промежуточные факты, не отраженные в архивах, дополняются воображением чиновника и очень часто приблизительны. Например, если в паспорте есть штамп о браке, то только в самых ответственных случаях чиновник будет требовать свидетельство о браке, хотя юридическим подтверждением факта бракосочетания штамп в паспорте не является.
Казалось бы, при таком подходе неизбежны ошибки и недоразумения, однако на практике, наоборот, ошибочных и нарушающих закон (права граждан) решений становится больше по мере роста объема используемых документов. Иными словами, чем длиннее список используемых документов, тем выше риск нарушения прав граждан. Другая сторона той же медали такова: чем больше используется документов, тем меньше ответственность чиновника. Не случайно наивысшую силу имеет судебное решение, где вообще нет никаких установленных списков документов, которые гражданин должен представлять в подтверждение своих доводов; причем никакие доказательства не имеют для суда заранее установленной силы (ст. 67 ГПК РФ и ст. 17 УПК РФ). Зато и ответственность судьи выше.
При автоматизированной обработке любое противоречие в архивах может привести к фатальной ошибке. При этом архивы не актуализируются по мере необходимости, а актуальны всегда. Количество документов, используемых при принятии решения, резко возрастает. В случае объединения или взаимной интеграции архивов непротиворечивость этих документов и универсальность возможности их использования приобретает принципиальное значение (см. мою статью "Этот непостижимый административный учет", "КТ" #612 от 1.11.2005). Вместе с тем уменьшается роль когнитивной оценки документов одновременно с уменьшением ответственности чиновника, и растет риск нарушения прав граждан.
Это в равной степени касается и информации, не используемой в управленческих целях. Разница лишь в том, что ее уничтожение или случайная утрата не повлечет нарушения ничьих прав. Напротив, угрозой становится сохранность информации, усугубленная ее непрерывной доступностью.
Публикация в Сети высказанного человеком сгоряча мнения мозолит глаза в поисковиках как вечный памятник его неуравновешенности. Любая вовремя не уничтоженная мелочь может остаться в электронных сетях до скончания века - и будет легкодоступной неограниченному кругу лиц.
Меня не волнует бумажное издание, содержащее неверные сведения о моей персоне, - оно не так доступно. Иное дело, если потенциальный работодатель или партнер полезет в Сеть выяснять, кто я да что я. Публикацию в бумажных изданиях он не найдет, а вот пустая склока, опубликованная в Интернете, может вызвать у него интерес.
Одними из фундаментальных правовых основ являются понятия срока давности в уголовном праве (ст. 78 УК РФ) и срока приобретательской давности и исковой давности в гражданском праве (ст. 195, 231, 234 ГК РФ). Время лечит - это основа существования человеческого общества, вытекающая из самого способа мышления человека и гарантия непрерывной стабилизации отношений, непрерывного автоматического разрешения давних споров, обид и недоразумений. Гарантия ненакопления управленческих ошибок и неразрешимых конфликтов.
В статье "Борьба с коррупцией или электронная гильотина как средство от перхоти" ("КТ" #616 от 29.11.2005) я говорил о влиянии прозрачности на системы управления. Но прозрачность, усугубленная неуничтожимостью и непрерывной актуализацией информации, способна привести к коллапсу не только управленческих систем, но и общественных институтов саморегулирования.
Надо понимать, как ненадежен расчет на некое общественное досье, где "все про всех всё знают", поскольку в этих условиях любое нарушение обязательств влечет пожизненное наказание. Общество, не способное прощать, не может существовать долго.
Наиболее разрушительную и вместе с тем прогрессивную часть любого общества составляют люди авантюрного склада. Те, кто допускает наибольшее количество ошибок, склонен необдуманно брать на себя невыполнимые обязательства и способен, преодолевая угрызения совести, свои обязательства нарушать. Именно эти люди готовят и совершают революции, именно они оказываются нарушителями даже самых либеральных законов и в то же время именно они открывают Америки и нащупывают пути, по которым в дальнейшем движется весь мир. Если не предложить авантюристам прощение грехов, они наверняка найдут способ разнести в клочья любое общество и любой способ управления.
Сбор данных
Законопроект не предусматривает практически никакого контроля за сбором персональных данных, оговаривая лишь ограничения в части обработки уже собранных сведений о гражданах.
Персональные данные и сведения о частной жизни
Из Европейской Конвенции "О защите частных лиц при автоматизированной обработке персональных данных" следует, что "персональные данные" означают любую информацию об определенном или поддающемся определению физическом лице (субъект данных). Уже в преамбуле содержится неоднозначное утверждение о том, что Конвенция подписана сторонами в целях уважения и защиты частной жизни, а в ст. 1 прямо говорится, что защита сведений о частной жизни граждан является основной целью Конвенции. Если исходить из ст. 23, 24 Конституции России, сведения о частной жизни могут быть собраны и обработаны только с согласия гражданина или по решению суда. Итого: единственный способ соблюсти и Конвенцию, и Конституцию - не подвергать персональные данные автоматизированной обработке.
Уполномоченный орган по защите персональных данных
Конвенция предусматривает создание специального независимого органа по защите персональных данных. Законопроект предполагает, что такой орган будет назначаться Правительством, и он же будет сертифицировать автоматизированные системы обработки персональных данных.
Идентификаторы персональных данных
Законопроект предполагает обязательное присвоение персональным данным граждан уникальных, несменяемых номеров. Причем законопроект не содержит никакой возможности уклониться от присвоения этого номера. Надо ли говорить, что это ущемляет одно из фундаментальных прав граждан - право иметь убеждения и действовать в соответствии с ними. Именно это право положено в основу закона "Об альтернативной службе", а также в основу норм уголовно-процессуального кодекса, гарантирующих право не давать показания против своих близких. Иными словами, даже если закон обязывает что-либо делать (например, служить в армии), человек вправе поступать согласно своим убеждениям, если это не нарушает конституционных прав других людей. В данном же случае отказ от присвоения уникального номера реализовать в рамках закона невозможно.
Государственные и негосударственные системы
Законопроект не делает никаких различий между электронными системами, использующими персональные данные граждан и применяющимися в органах государственной власти и негосударственных структурах.
Биометрические данные
Предполагается распространить действие этого закона и на системы сбора, хранения, обработки и использования биометрических данных, что вызывает особые опасения, поскольку создание баз биометрических и генетических данных граждан требует предельной осторожности и широкого обсуждения. В законопроекте же об этом говорится лишь вскользь, но этого уже достаточно, чтобы начать создавать такие базы.
Трансграничная передача данных
Законопроект прямо устанавливает возможность трансграничной (то есть за пределы России) передачи персональных данных. Очевидно, что при любых действиях с персональными данными в пределах России мы имеем возможность требовать от органов государственной власти России принятия властных мер. Если же злоупотребления персональными данными будут происходить за пределами страны, действенных механизмов их пресечения у органов государственной власти России нет в силу суверенитета других государств.
Интеграция баз персональных данных
Еще один пласт проблем вытекает из устанавливаемой законопроектом возможности интеграции баз персональных данных и неподконтрольной гражданину возможности передачи его персональных данных из одной интегрированной системы в другую. Надо сказать, что в силу ст. 23, 24 Конституции России без согласия гражданина или решения суда сведения о частной жизни не могут быть собраны, использованы и переданы из одной системы в другую.
Остается подчеркнуть, что вышеизложенные неопределенности и проблемы, которые создаются принятием этого закона, усугублены предусмотренной им возможностью уничтожения персональных данных.
15 января на круглом столе в партии "Яблоко" было принято обращение к парламенту с требованием провести всенародное обсуждение законопроекта. Одновременно было выпущено обращение ко всем заинтересованным лицам с просьбой принять участие в разработке единого консолидированного Доклада по проекту закона (privacy.hro.org/persdata/15-01-06.php). Следующий круглый стол по этому вопросу решено провести в партии КПРФ, и далее по очереди в других политических и общественных организациях. Обсуждение доклада за неимением другого ресурса ведется в моем блоге david-gor.livejournal.com.
- Из журнала "Компьютерра"