О нас новости Судебная практика Законодательство Аналитика Пресс-центр Справочные материалы

ОБЩЕРОССИЙСКАЯ ОБЩЕСТВЕННАЯ ОРГАНИЗАЦИЯ «АССОЦИАЦИЯ ЮРИСТОВ РОССИИ» МОСКОВСКОЕ ОТДЕЛЕНИЕ ОПУБЛИКОВАЛО ЭКСПЕРТНОЕ ЗАКЛЮЧЕНИЕ

  версия для печатиотправить ссылку другу
17 Апреля 2020
В связи с угрозой распространения новой коронавирусной инфекции 2019-nCoV (далее – COVID-19) на федеральном и региональных уровнях широко обсуждаются и принимаются различного рода меры по обеспечению контроля над соблюдением гражданами режимов самоизоляции и карантина. Большинство принятых мер являются целесообразными, адекватными и соразмерными для предотвращения распространения COVID-19. Однако Комиссия по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России (далее – Комиссия) выражает озабоченность в отношении отдельных мер, вводимых или обсуждаемых к введению некоторыми регионами Российской Федерации (в частности, мер по введению автоматизированного мониторинга поведения граждан), по причине возможного противоречия этих мер требованиям федерального законодательства.

Некоторые из принимаемых рядом регионов мер вызывают, вопросы о соответствии требованиям Конституции Российской Федерации в части оснований для ограничения прав граждан, поскольку ст. 56 Конституции установлено, что для обеспечения безопасности граждан и защиты конституционного строя в соответствии с федеральным конституционным законом могут устанавливаться отдельные ограничения прав и свобод с указанием пределов и срока их действия в условиях чрезвычайного положения. При этом режим чрезвычайного положения в соответствии с Федеральным конституционным законом от 30.05.2001 No 3-ФКЗ «О чрезвычайном положении» может быть введен на территории Российской Федерации исключительно Президентом Российской Федерации после утверждения Советом Федерации Федерального Собрания Российской Федерации. В связи со складывающейся обстановкой Комиссия подготовила настоящее заключение с описанием таких несоответствий для минимизации рисков принятия региональными властями незаконных решений, нарушающих права и свободы граждан в нынешних условиях.

I

Сбор и обработка персональных данных граждан, как инфицированных COVID-19, так и не имеющих указанного диагноза, должна осуществляться в соответствии с требованиями федерального законодательства, в частности, Федерального закона No 152- ФЗ от 27.07.2006 «О персональных данных» (далее – 152-ФЗ). 152-ФЗ достаточно широко подходит к понятию персональных данных и относит к ним любую информацию, относящуюся «к прямо или косвенно определенному или определяемому физическому лицу», включая информацию, которая представляет собой результат преобразования таких данных в различного рода цифровые коды и иные идентификаторы (если они могут быть отнесены к определенному физическому лицу, в том числе путем соединения этих данных с иными данными). Данный вывод подтверждается судебной практикой и правоприменительной практикой Роскомнадзора. Соответственно, используемые в информационных системах мониторинга поведения граждан их изображения (в том числе преобразованные в цифровой код), и иные идентификаторы, относимые к гражданину, являются его персональными данными. 152-ФЗ устанавливает ряд принципов обработки данных, которые применимы в равной степени как к коммерческим организациям, так и к государственным и муниципальным органам власти. В числе данных принципов указаны следующие: 

1) Принцип обработки данных на законной и справедливой основе (ч. 1 ст. 5 152-ФЗ).

Данный принцип означает, что основанием для сбора и обработки персональных данных граждан, находящихся на карантине или самоизоляции, может выступать только федеральный закон. Как указано в ст. 2 152-ФЗ целью указанного закона является «обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну». Право на неприкосновенность частной жизни относится к числу конституционных прав (ст. 23 и 24 Конституции РФ). Согласно ч. 3 ст. 55 Конституции права и свободы человека и гражданина могут быть ограничены федеральным законом только в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. При этом согласно ст. 10 Федерального закона от 21.12.1994 No 68-ФЗ «О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера» (в ред. от 01.04.2020 г.) при введении режима повышенной готовности или чрезвычайной ситуации могут быть осуществлены меры, обусловленные развитием чрезвычайной ситуации, не ограничивающие прав и свобод человека и гражданина и направленные на защиту населения и территорий от чрезвычайной ситуации, создание необходимых условий для предупреждения и ликвидации чрезвычайной ситуации и минимизации ее негативного
воздействия.

Таким образом, введение режима повышенной готовности, осуществленное в ряде субъектов Российской Федерации, включая город Москва и Московскую область, не является основанием для делегирования таким субъектам Российской Федерации права отступать от положений 152-ФЗ и по собственному усмотрению устанавливать основания, объем собираемых данных и порядок обработки персональных данных граждан. Согласно ст. 4 ФЗ 152-ФЗ акты государственных и муниципальных органов власти, принятые во исполнение федеральных законов, не могут содержать положения, ограничивающие права
субъектов персональных данных.

Учитывая изложенное, можно сделать вывод, что любые системы автоматизированного мониторинга поведения инфицированных и неинфицированных COVID-19 граждан, связанные со сбором и обработкой их персональных данных могут вводиться лишь в соответствии с федеральным законом, но не на основании актов региональных органов власти. При этом, даже если в связи с ситуацией с COVID-19 будет принят специальный федеральный закон, который будет предусматривать необходимые основания для сбора и обработки данных граждан региональными системами автоматизированного мониторинга их поведения, обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных 152-ФЗ (ч. 1 ст. 6).

2) Принцип минимизации обрабатываемых данных.

Согласно этому принципу «содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки» (ч. 5 ст. 5 152-ФЗ). Комиссия выражает озабоченность появлением мобильных приложений, подобных разработанному Департаментом информационных технологий г. Москвы приложению «Социальный мониторинг», которые используются
для контроля лиц с подтверждённым диагнозом COVID-19. Как показали сведения о приложении, которые были доступны при его загрузке на платформе Google Play, данное приложение получает доступ ко всем данным, содержащимся на устройстве пользователя (в том числе данным Интернет-соединений лица), а также дает разрешение на фото-видеосъемку, запуск сервисов на устройстве и изменение иных параметров функционирования устройства. 

Такой набор собираемых данных выглядит избыточным по отношению к заявленным целям, поскольку для них достаточно сведений о геолокации и общих данных, указанных при регистрации в приложении конкретным лицом. Заявленный функционал приложения «Социальный мониторинг» содержит в себе значительный шпионский потенциал и возможность удаленного несанкционированного изменения параметров функционирования устройства. Безусловно, факт наличия у лица подтвержденного диагноза COVID-19 является основанием для определенного ограничения его прав в целях защиты прав и законных интересов общества и других лиц. При этом данный факт не является основанием для непропорционального и неадекватного вмешательства в его конституционное право на неприкосновенность частной жизни. Это относится и к гражданам в режиме самоизоляции, которых также могут потенциально обязать устанавливать подобные приложения.

Таким образом, в соответствии с требованиями федерального законодательства, функционал таких приложений должен собирать и обрабатывать лишь те данные о гражданах, которые реально необходимы для достижения цели предотвращения распространения COVID-19. Такие приложения не должны собирать и обрабатывать данные «про запас» или по принципу «вдруг пригодятся». При этом, гражданину в понятной и общедоступной форме должна быть предоставлена вся необходимая информация о том, какие именно данные собираются, как и для каких целей они обрабатываются, и кто может получить к ним доступ.

3) Принцип уничтожения данных по достижении целей их обработки.

Согласно ч. 7 ст. 5 152-ФЗ обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. В соответствии с этим принципом все собранные в рамках автоматизированного мониторинга данные о гражданах должны быть уничтожены или обезличены надежным способом по окончании эпидемии:
- данные не должны использоваться для иных целей, несовместимых с целями сбора и обработки (предотвращение распространение вируса COVID-19 посредством обеспечения соблюдения установленных в законном порядке ограничений).
- данные не должны впоследствии объединяться с иными базами данных, обработка данных в которых осуществляется в целях, несовместимых между собой (ч. 3 ст. 5 ФЗ 152-ФЗ). К таким явно несовместимым целям обработки относятся, например, оценка платежеспособности граждан, оценка соответствия кандидата при приеме на работу, государственную службу или учебу, при расчете страховых взносов и премий и т.д.

При введении автоматизированных систем мониторинга поведения граждан важно,чтобы в актах региональных властей содержались положения о том, что по результатам нормализации эпидемиологической обстановки функционирование данной системы будет прекращено, а также о судьбе собранных данных о гражданах. Такие данные должны быть уничтожены, либо при условии обеспечения адекватных и надежных методов обезличивания (предотвращающих возможность ре-идентификации граждан), такие данные могут с соблюдением всех необходимых организационно-технических мер
защиты использоваться для научно-исследовательских целей. В любом случае такие данные, даже в обезличенной форме, не должны передаваться коммерческим структурам для использования в их коммерческой деятельности и не должны использоваться для принятия каких-либо решений в отношении граждан, затрагивающих их права и законные интересы.

4) Принцип защищённости информационных систем

Согласно ст. 19 152-ФЗ все информационные системы, включая ту их часть, которая непосредственно взаимодействует с гражданином (интернет-сайт, мобильное приложение, иное программное обеспечение) должны соответствовать требованиям ФСБ РФ и ФСТЭК РФ к защите от несанкционированного доступа, изменения или уничтожения информации. Ценность и чувствительность для граждан собираемых данных
крайне высока, в связи с чем утечки таких данных или несанкционированный доступ к ним способны причинить существенный ущерб правам и свободам граждан. Вследствие высокой социальной значимости5 подобные информационные системы могут подпадать под регулирование Федерального закона от 26.07.2017 No 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» со всеми вытекающими требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры, а также требованиями к созданию систем безопасности таких объектов и обеспечению их функционирования, которые утверждены ФСБ РФ.

Возникают определенные сомнения в соответствии вводимых региональными властями информационных систем мониторинга поведения граждан указанным требованиям. Кроме того, при проектировании информационных систем мониторинга поведения граждан необходимо минимизировать риски регистрации подставными лицами аккаунтов в отношении реальных лиц, тем самым «подставляя» их под нарушения, фиксируемые в автоматизированном порядке. Для этого, помимо соответствующих технических мер, необходимо предусмотреть эффективные онлайн механизмы обжалования таких решений и реализации права гражданина на удаление некорректных данных о нем в такого рода информационных системах, предусмотренного ст. 14 152-ФЗ.

Разумеется, в отношении собранных данных должно в полном объеме выполняться требование их локализации (ч. 5 ст. 18 152-ФЗ) и исключаться их передача третьим лицам, не вовлеченным в установленном порядке в процесс управления мерами по предотвращению распространения COVID-19. В тех же случаях, когда такая передача осуществляется, – гражданину должна быть предоставлена информация об этом (п. 4 ч. 7 ст. 14 152-ФЗ).

Наконец, следует отметить, что формальный и противоречащий требованиям федерального законодательства подход к защите персональных данных в рамках вводимых на региональном уровне информационных систем мониторинга поведения граждан может повлечь за собой угрозу федеральной безопасности:
-в связи с возможным установлением личности и служебной принадлежности сотрудников органов федеральной безопасности и внешней разведки;
-выявлением носителей сведений, составляющих государственную тайну;
-возникновением угрозы для членов семей вышеуказанных лиц, а также для лиц, находящихся под государственной охраной и ответственных за ее обеспечение.

Таким образом, Комиссия делает вывод, что сбор и обработка региональными властями данных граждан, как инфицированных, так и неинфицированных, посредством любых информационных систем мониторинга должна быть основана на федеральном законодательстве и должна соответствовать положениям 152-ФЗ и
принципам обработки данных, закрепленных в нем, а также требованиям иных положений федерального законодательства, в том числе в части информационной безопасности таких систем.

II

Принимаемые региональными властями меры по мониторингу поведения граждан должны быть максимально технологически-нейтральными для минимизации рисков дискриминации граждан по признаку их цифровой грамотности. QR-коды и иные меры, связанные с необходимостью использования мобильных
приложений, хотя и являются достаточно удобным и современным способом обмена информацией, но требуют: наличия определенного программно-аппаратного обеспечения (смартфон), навыков работы с ним, доступа к сети Интернет. В этой связи показательным является мнение специального представителя президента РФ по вопросам цифрового и технологического развития Дмитрия Пескова, в котором он отметил проблематичность масштабного развертывания данной технологии: «Если разворачивать это на сотни тысяч человек, не говоря уже о всем населении Москвы, сделать это практически невозможно. В том числе, потому что не все смогут разобраться в технологии, у кого-то будут глючить телефоны, кто-то будет их оставлять, люди будут обмениваться сим-картами и так далее»

Как видно, далеко не все граждане, особенно из числа пожилых граждан, способны эффективно использовать функционал возможных приложений с применением QR-кодов или иных подобных средств. Следовательно, они будут лишены возможности фактической реализации своих прав и свобод, даже если им предоставить в пользование соответствующие устройства. Такого рода дискриминация, основанная на цифровой грамотности и обеспеченности гражданина, является проявлением дискриминации по признаку социального происхождения и недопустима в силу положений ст. 19 Конституции РФ и ч. 1 ст. 4 Международного пакта ООН о гражданских и политических правах.

III

Комиссия выражает озабоченность размытым и противоречивым характером многих региональных актов, регламентирующих вопросы самоизоляции и карантина. В значительной степени их толкование оставляется на усмотрение рядовых сотрудников полиции, Росгвардии и иных силовых структур. Такого рода регулирование противоречит не только фундаментальному конституционному принципу формальной определенности норм права, но и несет существенные коррупционные риски. В этой связи полагаем, что
необходимо:

1) Четко определить в правовых актах пределы допустимого поведения граждан с соблюдением положений федерального законодательства. Недопустимо использование в правовых актах размытых формулировок, резервирующих возможность применения санкций в отношении граждан «на будущее» и в отношении форм поведения, которые изначально не были явно обозначены в качестве запрещенных. Также сомнительной для правового государства выглядит практика появления противоречивых разъяснений от должностных лиц, несоответствие декларируемых ими целей принятия
нормативного акта его буквальному тексту. Может возникнуть ситуация, при которой граждане будут руководствоваться разъяснениями официальных лиц, не обладающих какой-либо юридической силой, в то время как правоприменительные органы имеют формальное право привлекать граждан к административной ответственности без учета подобных разъяснений.

В подобных случаях должна применяться ст. 4 КоАП РФ, согласно которой все неустранимые сомнения в виновности лица, привлекаемого к административной ответственности, толкуются в пользу этого лица.

2) Устранить возможность установления административной ответственности за одно и то же деяние федеральным и региональным законодательством. 

К сожалению, в настоящее время подобная ситуация наблюдается, например, применительно к штрафам за нарушение требований самоизоляции. Так, согласно ч. 1 ст. 20.6.1 КоАП РФ штрафы за нарушение режима самоизоляции для граждан составляют от 1 тыс. до 30 тыс. руб. (15–50 тыс. руб. при повторном нарушении). В свою очередь, КоАП г. Москвы предусматривает штраф в размере 4 тыс. руб. для граждан за неисполнение требований указов мэра Москвы об ограничениях, направленных на сдерживание распространения инфекции, включая самоизоляцию по месту жительства (5 тыс. руб. при
повторном нарушении). Установление двумя разными актами административной ответственности за одно и то же по своему характеру деяние нарушает положения ч. 5 ст. 4.1 КоАП РФ, согласно которой «никто не может нести административную ответственность дважды за одно и то же административное правонарушение».

3) Предусмотреть дополнительные организационно-технические меры надзора и контроля за действиями сотрудников полиции и иных структур на местах, в частности, посредством учреждения специальной горячей линии для связи с сотрудниками собственной безопасности соответствующих силовых структур и реализацией удобной технической возможности отправки данных видео и аудио-фиксации злоупотребления сотрудниками силовых ведомств своими полномочиями.

IV

Комиссия также выражает опасения относительно возможного противоречия архитектуры таких систем с проводимой региональными властями политикой по поддержанию экономической стабильности региона.
Для продолжения своей деятельности и обеспечения выплаты заработной платы работникам (во исполнение Указа Президента РФ от 02.04.2020 No 239) многие организации вынуждены переходить на работу исключительно в режиме онлайн. Такой режим предполагает доставку товаров курьерскими службами, а также организацию пунктов самовывоза. Такие пункты самовывоза могут быть организованы только в ограниченном количестве и находиться за пределами шаговой доступности покупателя. Для их посещения необходимо обеспечение достаточной гибкости функционирования системы автоматизированного мониторинга поведения граждан - это неизбежно повлечет ее усложнение, чреватое ошибками и сбоями в ее работе, а также простор для ее обхода и злоупотреблений (со стороны недобросовестных граждан). Иными словами, внедрение подобного рода информационных систем мониторинга может не соответствовать мерам по обеспечению возможности функционирования определенных организаций онлайн-торговли, выводя деятельность по покупке товаров в них в «серую зону».

Вышеуказанные обстоятельства могут привести к следующему нарушению прав:

- граждан в части возможности приобретения необходимых товаров, поскольку их ассортимент и перечень будет неизбежно расширяться по мере увеличения продолжительности введенного режима самоизоляции и карантина,

- организаций на ведение законной предпринимательской деятельности. Уже сейчас наблюдаются множество конфликтных ситуаций, возникающих в сфере онлайн- торговли. Как отмечается, «местные регулирующие органы останавливают курьеров, не дают поставщикам добраться до распределительных центров и заставляют закрываться пункты выдачи заказов (ПВЗ). Ассоциация компаний Интернет-торговли (АКИТ) заявляет, как минимум о 2 тыс. случаев помех для работы курьеров и поставщиков за последние дни. Это происходит на фоне повышенного спроса на многие категории товаров, включая продукты и бытовую технику».

В силу вышеуказанных доводов, по мнению Комиссии, внедрение систем автоматизированного мониторинга поведения граждан (не инфицированных COVID-19) не целесообразно для тех регионов, которые будут стремиться максимально использовать экономический потенциал онлайн-продаж и поддержать тем самым экономическую стабильность региона.






также в рубрике ] мы: