Готовы поправки к ПФЗ об обезличенных данных: Минцифры намерено стать супермонополистом ПД без нашего согласия

На модерации Отложенный


Четыре года уже лежит в Госдуме законопроект о новом порядке обработки т.н. обезличенных персональных данных. И вот в Минцифры решили, что пора двигать дело с мертвой точки. Ко второму чтению документ почти полностью переписан цифротрансформерами. Они хотят получать все персональные данные граждан от частных компаний. То есть частников просто обяжут передавать ПД граждан (всех своих клиентов и сотрудников) в единую ГИС Минцифры, критерии для формирования составов данных, правила обезличивания разработает Правительство в рамочном порядке. Более того, к данным в ГИС получат доступ отдельные граждане и юрлица, которых допустит туда Правительство. Ряд экспертов полагают (не без оснований), что Минцифры вскоре введет платный доступ к массивам ПД граждан, дабы монетизировать свои полномочия супермонополиста. Самое главное, по букве закона обезличенные персональные данные остаются персональными – значит, на их обработку необходимо согласие граждан. Но в Минцифре убеждены, что на согласие народа, равно как и частных компаний, услугами которых пользуется народ, можно пренебречь. На наших глазах реализуется аналог проекта ЕБС, только уже не с биометрией, а «большими данными» каждого человека. Ничего хорошего впоследствии этот проект цифросекты не сулит.

Согласно правительственным поправкам в 152-ФЗ «О персональных данных» (первое чтение документ прошел еще в январе 2021 г., с тех пор лежит в парламенте без движения - https://sozd.duma.gov.ru/bill/992331-7), будет создана ГИС с оператором Минцифры, куда бизнес будет обязан бесплатно передавать персональные данные своих клиентов и сотрудников. А уже из этого «госозера» официально обезличенные сведения могут получать другие граждане и юрлица, все органы власти и госфонды. Подчеркнем, речь идет об огромном массиве всевозможных групп личных данных, никак напрямую не связанных между собой. При этом одним из основных принципов обработки ПД сегодня по закону является соответствие их обработки заранее определенным целям. И это далеко не единственное вопиющее нарушение прав граждан.

Законопроектом вводится новое основание в статье 6 152-ФЗ, по которому обработка «ПД, полученных в результате обезличивания» может происходить без согласия гражданина. В настоящее время понятие ПД, полученных в результате обезличивания, используется только в 123-ФЗ «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте РФ - городе федерального значения Москве…», а также в 258-ФЗ «Об экспериментальных правовых режимах в сфере цифровых инноваций в РФ». Особо подчеркнем, что несмотря на процедуру обезличивания, эти данные граждан по-прежнему считаются и называются ПЕРСОНАЛЬНЫМИ ДАННЫМИ, именно поэтому их оборот регулируется тем же 152-ФЗ. 

То есть собственно субъекта ПД никто не будет спрашивать мнение/информировать на предмет того, что все его ПД из базы частника перетекут в ГИС Минцифры. У нас не будет возможности как-то на это повлиять, отказаться, отозвать их из ГИС позже. Поправками цифросектантов это не предусмотрено.

Ключевая поправка в документе – вставка в 152-ФЗ новой статьи 13 (1), которая подробно расписывает алгоритм обработки «обезличенных ПД» граждан без их согласия. Приведем и прокомментируем ключевые положения статьи:

«Статья 131.  Особенности обработки персональных данных, 

полученных в результате обезличивания персональных данных, при формировании составов данных и предоставления доступа к ним

- Минцифры формирует составы персональных данных, полученных в результате обезличивания персональных данных, сгруппированные по определенному признаку при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту персональных данных.

- Для формирования составов данных Минцифры направляет операторам требование о предоставлении ПД в определяемую Правительством ГИС Минцифры. Указанное требование должно содержать перечень ПД, полученных в результате обезличивания персональных данных, которые предоставляются оператором для формирования составов данных, а также сроки их предоставления. 

- Оператор после получения требования обязан обезличить обрабатываемые им ПД в соответствии с требованиями к обезличиванию ПД, которые устанавливаются Правительством РФ…

- В случае отсутствия у оператора технической возможности обезличить обрабатываемые им персональные данные в соответствии с требованиями к обезличиванию он предоставляет в ГИС Минцифры обрабатываемые им персональные данные.

- Оператор обязан предоставить ПД, полученные в результате обезличивания ПД, или обрабатываемые им ПД в ГИС Минцифры. Порядок взаимодействия Минцифры с операторами и порядок взаимодействия ГИС Минцифры устанавливаются Правительством РФ... 

- В случае поступления от оператора обрабатываемых им ПД Минцифры обязано обезличить указанные ПД в соответствии с требованиями к обезличиванию. Поступившие от оператора обрабатываемые им ПД Минцифры обязано уничтожить в срок, не превышающий тридцати дней со дня их поступления в ГИС, с подтверждением уничтожения в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПД.

- Минцифры после поступления от операторов ПД, полученных в результате обезличивания ПД, или обезличивания поступивших от операторов обрабатываемых ими ПД формирует составы данных в ГИС Минцифры в соответствии с порядком формирования составов данных, устанавливаемым Правительством РФ...

- Доступ к составам данных предоставляется пользователям ГИС Минцифры в соответствии с порядком предоставления доступа к составам данных, устанавливаемым Правительством РФ… 

- Пользователями ГИС Минцифры являются:

1) госорганы и подведомственные им организации, муниципальные органы и подведомственные им организации, органы государственных внебюджетных фондов;

2)  граждане РФ и российские юридические лица, включенные правительственной комиссией в перечень лиц, имеющих право на доступ к ГИС Минцифры. Положение о правительственной комиссии, ее состав и порядок принятия ею решений утверждаются Правительством РФ. 

- В числе требований к гражданам-пользователям ГИС и юрлицам/операторам ПД указаны отсутствие иностранного гражданства, непогашенной судимости и т.д…

- Обработка составов данных пользователями ГИС Минцифры осуществляется только в указанной информационной системе. Не допускаются запись, извлечение, передача (распространение, предоставление, доступ) составов данных из ГИС.

- Не допускаются обработка составов данных и получение результатов обработки составов данных, если использование таких составов данных и результатов их обработки может повлечь причинение вреда жизни, здоровью людей, оскорбление нравственности, нарушение прав и законных интересов граждан и организаций, причинение вреда (ущерба) окружающей среде, обороне страны и безопасности государства, объектам культурного наследия, иным охраняемым законом ценностям. 

- Не допускается предоставление результатов обработки составов данных иностранным юридическим лицам, иностранным организациям, не являющимся юридическими лицами, иностранным гражданам и лицам без гражданства, за исключением случаев, определенных международным договором РФ, федеральным законом, решением Президента РФ».

Как видим, в Минцифры решили не заморачиваться по поводу обязанности бизнеса деперсонализировать ПД своих клиентов. Если частники технически не смогут это сделать – пусть передают ПД клиентов в Минцифру в «чистом виде». А там уже разберутся. При этом доступ к данным из ГИС будет запрещен гражданам других государств, отбывающим судимость, а также запрещено формировать и обрабатывать составы ПД, использование которых несет вред здоровью и жизни людей, представляет угрозу обороноспособности страны и безопасности государства. Тут вроде как просматривается забота о кибербезопасности, вот только сам принцип «сваливания» всех ПД граждан в одну «корзину»-ГИС с совершенно рамочными полномочиями Правительства (правила игры могут постоянно меняться, никак не зависят от граждан и частников) – изначально не про безопасность, а совсем наоборот.

Ради чего же затеян весь этот сыр-бор с принуждением частников передавать ПД всех граждан-своих клиентов в единую ГИС, пусть и в как бы обезличенном виде? Якобы «в целях повышения эффективности государственного и муниципального управления», пишут нам в ПФЗ. Но тогда причем тут отдельные граждане и частники, которые также получат доступ к данным в ГИС через три года после старта проекта (вначале допустят госорганы и подведомственные им организации)?

«Говорить о результатах преждевременно, но речь точно не идет о заработке ГИС на предоставляемых бизнесом дата-сетах», - прокомментировали эту мысль в Минцифры.

Если об этом речь не идет, зачем Правительство создает все условия для торговли/свободного перемещения/обмена ПД между частниками и отдельными гражданами через свою ГИС – без нашего на то согласия?

Можно предположить, что истинные цели инициативы Минцифры не имеют отношения к повышению эффективности госуправления. Впрочем, для цифросектантов передача процессов обработки ПД граждан и управления ими нейросети – это как раз повышение эффективности. Неслучайно поправка вносится как раз в тот пункт 152-ФЗ, который появился после принятия закона о правовом эксперименте в Москве, по управлению ПД москвичей (в т.ч. – биометрии) с помощью ИИ (подробнее о нем – читайте на «Катюше»).  

Нейросети нужно учиться контролировать и управлять «цифровыми профилями» граждан, подменять собой решения живых чиновников в госорганов, а для всего этого надо регулярно «кормить» ее массивом народных ПД. Что Шадаев и Ко и намерены теперь обеспечить. Сам министр Максут Шадаев не раз подчеркивал, что для него идеальный чиновник – «это чиновник-робот». И он со своими полномочиями становится все ближе к мечте: делегированию управления страной (и людьми, разумеется) машинному алгоритму. Это и есть пресловутый «проактивный режим», когда решения по жизненным ситуациям граждан принимаются без их ведома и согласия – на основе постоянной слежки с помощью ИИ. Человеческое управление остается за скобками за ненадобностью.

В завершение еще раз обратим внимание на позицию экспертов:

«Дата-сеты коммерческих организаций после процедуры обезличивания в любом случае будут являться персональными данными», — поясняет главный юрисконсульт практики интеллектуальной собственности юридической компании «ЭБР» Кирилл Ляхманов.

«Механизмов как такового обмена обезличенной информацией между компаниями не предусмотрено. Согласно закону, обезличенные данные — те же персональные по своему статусу, а значит, для их передачи и обмена необходимо отдельное согласие субъекта», - отмечает юрист, преподаватель образовательной платформы Moscow Digital School Александра Орехович.

«Самое главное заключается в том, что основные правила будут определяться на уровне не федерального закона, а постановления правительства. Для бизнеса это значит, что правила игры могут поменяться в любой момент, потому что так решит правительство. При этом государство фактически вводит своего рода «цифровой налог», который нужно выплачивать «натурой» — наборами персональных данных», - полагает соучредитель Russian Privacy Professionals Association (RPPA) Алексей Мунтян.

Шадаевцы задумали создать бессрочную систему постоянного откармливания нейросети нашими персональными данными – причем из всех возможных сфер. На волеизъявление и мнение физических и юридических лиц – заложников их ГИС – шадаевцам совершенно плевать. А уж как шадаевцам аплодируют Клаус Шваб и Ко – за находчивость в отчуждении ПД под видом их обезличивания, без обязательного по Конституции и ФЗ нашего согласия на обработку в каждом конкретном случае – того и гляди, уши лопнут. Словом, чем дальше в цифровизацию – тем дальше от Конституции и защиты базовых прав граждан.