Анализ законопроекта ФЗ № 157752-7 «О внесении изменений в отдельные законодательные акты Российской Федерации» (о создании механизма интерактивной удаленной аутентификации и идентификации клиента кредитной организации)
Настоящее заключение выполнено по запросу общественных организаций в связи с принятием Государственной Думой РФ закона о создании единой биометрической базы данных населения России.
Предметом исследования является законопроект ФЗ № 157752-7 «О внесении изменений в отдельные законодательные акты Российской Федерации» (о создании механизма интерактивной удаленной аутентификации и идентификации клиента кредитной организации).
Цель исследования: определить последствия принятия закона ФЗ № 157752-7 «О внесении изменений в отдельные законодательные акты Российской Федерации» (о создании механизма интерактивной удаленной аутентификации и идентификации клиента кредитной организации) в Российской Федерации для жизни граждан, безопасности личности и суверенитета государства.
Задачи исследования: определить, какими причинами вызвано создание в России единой базы биометрических и персональных данных населения России; кто является выгодополучателем в случае принятия законопроекта ФЗ № 157752-7; какие правовые нормы нарушает создание в России единой базы биометрических и персональных данных населения России; имеются в законопроекте № 157752-7 признаки коррупциогенности и угроз национальной безопасности.
В работе принимали участие специалисты в сфере экономики, социологии, информационных технологий, юриспруденции.
Аналитическая записка является коллективным результатом, включающим в себя ряд исследований и заключений, под маркой Независимого экспертно-аналитического центра «VERITAS» без указания конкретного авторства.
Анализ законопроекта
Для анализа представлен законопроект ФЗ № 157752-7 «О внесении изменений в отдельные законодательные акты Российской Федерации» (о создании механизма интерактивной удаленной аутентификации и идентификации клиента кредитной организации).
Законопроект был внесён в Государственную Думу депутатом Государственной Думы РФ А.Г. Аксаковым и членом Совета Федерации РФ Н.А. Журавлевым 24 апреля 2017 г. первоначально под названием «О внесении изменений в Федеральный закон «О противодействии легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма» (о создании механизма интерактивной удалённой аутентификации и идентификации клиента кредитной организации - физического лица).
Законопроект принят Госдумой РФ в 3 чтении 20 декабря 2017 г., одобрен Советом Федерации 26 декабря 2017 г.
Среди целей законопроекта в «Пояснительной записке» указано «обеспечение надлежащего нормативного правового регулирования использования механизма удаленной аутентификации и идентификации клиента с использованием его биометрических персональных данных».
Необходимость внесения инициативы в «Пояснительной записке» обоснована «мировым трендом, повышением спроса на цифровые финансовые услуги, появлением высокоточных и стабильно функционирующих технологий биометрической идентификации, необходимостью введения дополнительных сервисов в целях увеличения спроса на услуги российских банков и на поддержание, таким образом, стабильности банковской системы».
Правом создания единой биометрической системы России, которая будет объединена с Единой системой идентификации и аутентификации (ЕСИА), закон наделяет Центральный банк РФ.
Оперативное управление базой биометрических данных возложено на оператора единой биометрической системы, который «занимает существенное положение в сети связей общего пользования на территориях не менее чем двух третей субъектов РФ» (п.17 ст. 8).
Оператор единой биометрической системы проверяет достоверность биометрических сведений гражданина (пп.1 п.16 ст.8), а также предоставляет сведения, содержащиеся в единой биометрической системе, в федеральные органы исполнительной власти, осуществляющие выработку и реализацию государственной политики в сфере внутренних дел, области обеспечения безопасности, обороны страны, безопасности государства, охраны правопорядка и противодействия экстремизму (пп.2 п.16 ст. 8).
Оператор единой биометрической системы предоставляет биометрические данные граждан уполномоченному органу и Центральному банку РФ и непрерывно обновляет их на основе поступающей из банков информации в порядке, определённом федеральным органом исполнительной власти в сфере информационных технологий (п. 3 ст.4).
Состав и вид биометрических сведений определяется Правительством РФ (п.8 ст.8), контроль и надзор за обеспечением мер безопасности, за исключением контроля банков, осуществляет федеральный орган (п.10 ст.8).
Центральный банк РФ определяет перечень банков, которые получат право пользоваться данными ЕСИА и единой биометрической системы, устанавливает требования по раскрытию информации, обязательные для выполнения другими банками (п.2 ст.4), определяет состав сведений, размещаемых в ЕСИА и в единой биометрической системе (п.2 ст.4), а также устанавливает перечень угроз при обработке данных и согласовывает его с уполномоченным федеральным органом исполнительной власти (п.14 ст. 8); осуществляет контроль за порядком размещения и обновления банками сведений и за исполнением банками мер по обеспечению безопасности персональных данных (п.11 ст. 8).
Банки должны соответствовать критериям: участвовать в системе страхования вкладов, не находиться в процедуре банкротства, не находиться под запретом Центрального банка РФ (п.2 ст.4). Список банков ежемесячно размещается Центральным банком РФ на своём официальном сайте, в случае несоответствия банка критериям Центральный банк РФ исключает банк из перечня не позднее одного рабочего дня (п.2 ст.4).
Правительство РФ определяет список случаев и лиц, когда закон позволяет не раскрывать информацию другим структурам (п.1 ст.1), в который входят: акционеры специализированных депозитариев (п.1 ст.2), страховщики (п.2 ст.2), негосударственные пенсионные фонды (п.1 ст.3), управляющие компании, инвестирующие средства пенсионных накоплений (п.2 ст.3), небанковские кредитные организации (ст.6), банки (ст.7), «лица, под контролем либо значительным влиянием которых они находятся» (ст.5, 6), а также иные организации и физические лица (п.11 ст.5).
Допущенные к единой биометрической системе банки будут оказывать услуги физическим лицам, отвечающим установленным законом критериям: не быть причастным к экстремистской деятельности и не вызывать «подозрений в легализации (отмывании) средств, полученных преступным путём или финансированием терроризма» (п.2 ст.4).
Информацию о физическом лице для размещения в единой биометрической системе должен будет при открытии счёта в банке предоставлять на безвозмездной основе сам гражданин: фамилия, имя, отчество, гражданство, дата рождения, реквизиты паспорта, номер миграционной карты, адрес места жительства, идентификационный номер налогоплательщика (ИНН), страховой номер индивидуального лицевого счета (СНИЛС), номер личного телефона; сведения о биометрических персональных данных; сведения о согласии на обработку персональных биометрических данных (п.1, 2 ст.8).
Государственные органы, банки и иные организации при проведении идентификации гражданина имеют право для подтверждения достоверности этих сведений использовать информацию из информационных систем МВД, Пенсионного фонда, Фонда обязательного медицинского страхования (ФОМС).
Для идентификации гражданина (п.2 ст.1), а также заполнения утверждённой Правительством РФ формы согласия гражданина на обработку биометрических данных (п. 23 ст.8), предусмотрено использование простой электронной подписи.
Уполномоченное лицо, размещающее сведения в ЕСИА и единой биометрической системе, заверяет их усиленной квалифицированной электронной подписью (п.4 ст.8).
Для обеспечения безопасности своих данных при передаче по каналам связи при удалённой идентификации гражданин обязан самостоятельно воспользоваться «шифровальными (криптографическими) средствами», адрес размещения которых в интернете ему сообщит в неустановленном законом порядке представитель государственного органа, банка или иной организации (п.19 ст. 8).
В случае если гражданин «использует мобильный телефон, смартфон или планшетный компьютер и отказывается от использования шифровальных (криптографических) средств», банк отказывает ему проведении указанной идентификации (п.20 ст. 8).
Если гражданин «использует иные устройства, в том числе персональный компьютер, и отказывается от применения шифровальных (криптографических) средств», банк уведомляет его о рисках и проводит соответствующую идентификацию (п. 21 ст.8).
Банки получают право предоставлять биометрические данные граждан за плату коммерческим и государственным структурам, в том числе, силовым (пп. 2 п.16 ст. 8), а также другим банкам и фондам (пп. 1 п. 16 ст.8).
Порядок и размер взимания платы оператором единой биометрической системы за предоставление биометрических данных граждан банкам будет определять федеральный орган исполнительной власти по согласованию с Центральным банком РФ и оператором единой биометрической системы (п.2 ст.4).
Размер платы за предоставление оператором единой биометрической системы биометрических данных граждан государственным структурам определяется федеральным органом исполнительной власти по согласованию оператором единой биометрической системы (п.24 ст.8).
Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных осуществляет уполномоченный Правительством федеральный орган исполнительной власти (п.10, 12 ст.8), который определяет и утверждает порядок обработки данных, формы подтверждения, методики проверки (п.13 ст.8).
Ответственность за сбор, обработку и передачу данных определяется законом ФЗ № 157752-7 в рамках административной, гражданской и уголовной ответственности (п. 24 ст.8).
Консолидированное мнение экспертов
На основании анализа закона ФЗ № 157752-7 «О внесении изменений в отдельные законодательные акты Российской Федерации» (о создании механизма интерактивной удаленной аутентификации и идентификации клиента кредитной организации) можно сделать вывод, что он кардинально повлияет на жизнь граждан, суверенитет личности и безопасность государства.
Закон принимается с целью поддержания стабильности банковской системы, то есть формирования новых клиентских баз, для чего в интересах банковского капитала создаётся единая база биометрических данных населения России, объединённая с единой базой персональных данных ЕСИА, которая будет максимально полно отображать «профиль личности», позволит моментально оценивать перспективы потенциальных клиентов и сократит расходы на их поиск.
Владельцем объединённой базы данных на всех граждан страны станет Центральный банк РФ, который создаст правила для владения ею, определит порядок и правила её использования и обозначит санкции за их нарушения. Он станет осуществлять ежемесячный рейтинг российских банков, которые будут допущены к единой биометрической системе, а значит, получат конкурентное преимущество.
В законе многократно указывается, что контроль над действиями банковских структур в отношении единой базы данных населения страны будет осуществлять не государство, а Центральный банк РФ, с которым государство, в свою очередь, должно будет согласовывать свои планы в отношении данной базы.
Закон создаёт монопольное право и передаёт властные полномочия банковской структуре - Центральному банку РФ, что можно характеризовать как механизм создания в России нового, неконституционного (ст. 10 Конституции РФ) института власти - власти частных структур - Центрального банка РФ и аффилированных с ним структур, которые получат доступ к уникальной информации о человеке и право капитализировать её.
Предлагаемая законом характеристика оператора данных прямо указывает на Ростелеком, который также многократно озвучивал своё намерение создать Национальную биометрическую платформу, что указывает на создание преференций для конкретного субъекта правовых отношений с целью получения им материальной выгоды.
Закон, наделяющий одну структуру неограниченной властью и монопольным правом на новый рынок, а другую вписывающий в рамки создаваемого субъекта коммерческих отношений, содержит в себе выраженные признаки коррупциогенности и несёт прямую угрозу государственной безопасности.
Закон прямо указывает, что, в отличие от данных простых граждан, биометрическая информация представителей банковского капитала, крупного бизнеса и лиц, их контролирующих, вноситься в базы данных не будет, что можно расценивать, как выраженные признаки дискриминации граждан по социальному признаку (п.2 ст. 6, ст.19 Конституции РФ).
Оператор единой биометрической системы станет наполнять базы данных, предоставлять их силовым структурам, а также, в свою очередь, сможет получать для проверки данных граждан информацию из МВД, Пенсионного фонда, ФОМС и других государственных структур. Информация будет обновляться в режиме реального времени, создавая ситуацию полной «прозрачности» гражданина.
В законе также прописан сбор информации о гражданине в единую базу биометрических данных из государственных, в том числе, силовых структур. Это лишит гражданина возможности выбора и поставит его перед фактом обязательности повсеместного предоставления своих уникальных данных под угрозой лишения доступа к госуслугам, образованию, здравоохранению, социальной помощи.
Чтобы снять правовые препятствия, гражданину предписывается заполнить бланк «добровольного согласия» на обработку биометрических данных. Возможность отказа и механизм отзыва гражданином своего «согласия» законом не предусмотрены.
При этом гражданин должен будет сам обеспечить безопасность своих биометрических данных, передаваемых в единую базу, обратившись для этого на указанный банком ресурс в Интернете. Его данные будут заверяться простой электронной подписью в отличие от усиленной квалифицированной электронной подписи уполномоченного представителя оператора.
Биометрические данные являются уникальной информацией о человеке, открывающей доступ к нему и к его жизни. Законом не предусмотрена конкретная ответственность банков и оператора единой базы за нанесение ему ущерба, в том числе, в случае т.н. «кражи личности», наступающей в результате криминального использования его персональных и биометрических данных.
Сбор у законопослушных граждан в принудительном порядке данных, которые собирают у преступников (отпечатки пальцев, слепок голоса, цифровой профиль клиента и др.), предусмотренная законом передача информации о человеке в силовые структуры противоречат принятой в России презумпции невиновности (ст. 49 Конституции РФ), что лишает гражданина приватности, унижает его, ущемляет права личности и нарушает ст.21, 23, 24, п.2 ст. 55 Конституцию РФ.
Мировая практика применяет такой механизм только в отношении лиц, совершивших преступления или подозреваемых в них. С принятием законопроекта ФЗ № 157752-7, в России под предлогом «борьбы с терроризмом и коррупцией» начнётся беспрецедентное нарушение прав человека.
Закон наделяет оператора единой биометрической системы правом продавать информацию о гражданине государству и коммерческим структурам. Капитализация данных о человеке приводит к капитализации самого человека, и специалисты уже называют это явление «цифровым феодализмом». В результате будет создан новый товар - цифровая копия человека, о чем уже открыто говорят люди, продвигающие новый цифровой проект, появится новый рынок - торговли цифровыми копиями (нарушение ст. 17 Конституции). Легитимированная законом продажа биометрических данных различным структурам создаст ситуацию беспрецедентного риска не только для гражданина, но и для государства в целом.
Решение о введении биометрической регистрации населения всей страны с обществом не обсуждалось, а безальтернативность вводимого механизма игнорирует интересы граждан, несёт угрозу их личной безопасности, игнорирует Конституцию РФ (ст. 6, 10, 17, 21, 23, 24, 49, 55).
Создание единой базы данных нарушает п.3 ст.5 закона №152-ФЗ «О персональных данных». По причине прямой угрозы суверенитету и безопасности страны создание единых баз данных ни в одной стране мира не осуществляется, а в Германии и вовсе запрещено отдельным законом.
Развитие современных информационных технологий позволяет успешно фальсифицировать любые личные данные, в том числе, биометрическую информацию, что остро ставит вопрос, к примеру, об уязвимости работников, имеющих доступ к закрытым объектам стратегического значения, и актуализирует вопрос безопасности самих объектов и страны в целом.
Также по-прежнему не решён вопрос с заменой иностранного программного обеспечения отечественным, а имеющиеся разработки российских специалистов наталкиваются на ожесточённое сопротивление крупного профильного бизнеса и не находят применения в своей стране.
Это наносит удар по обороноспособности страны и позволяет говорить об угрозе национальной безопасности.
Выводы
Законопроект ФЗ № 157752-7 «О внесении изменений в отдельные законодательные акты Российской Федерации» (о создании механизма интерактивной удаленной аутентификации и идентификации клиента кредитной организации) создан в рамках глобального проекта т.н. «цифровой экономики», являющегося новым инструментом наднационального контроля государств.
В случае принятия законопроекта ФЗ № 157752-7 в России произойдёт перехват государственной власти банковским капиталом в лице Центрального банка РФ и связанных с ним структур.
Законопроект № 157752-7 нарушает нормы Конституции РФ: п.2 ст. 6, ст. 10, ст. 17, ст.19, ст.21, ст. 23, ст.24, ст.49, п.2 ст. 55, а также п.3 ст. 5 закона №152-ФЗ «Закон о персональных данных».
В законопроекте № 157752-7 отчётливо определяются признаки коррупциогенности и антиконституционности, а также признаки дискриминации группы граждан по социальному признаку.
Законопроект ФЗ № 157752-7 «О внесении изменений в отдельные законодательные акты Российской Федерации» (о создании механизма интерактивной удаленной аутентификации и идентификации клиента кредитной организации) нарушает права личности, создаёт угрозу социальной нестабильности, подрывает государственную безопасность и ведёт к утрате национального суверенитета.