В настоящее время одним из наиболее приоритетных направлений внутренней политики всех развитых стран является реализация эффективных мер, призванных обеспечить информационную безопасность как граждан, так и самих государств. В условиях все возрастающего влияния IT-индустрии на повседневную жизнь, непрекращающегося расширения сетевой аудитории и проникновения цифровых технологий в новые сферы общественного взаимодействия особенное значение приобретает создание со стороны государств национальных механизмов, которые позволят гарантировать информационный суверенитет.
В свете не столь давно произошедших событий, связанных со слежкой Google за пользователями мобильных устройств и передачей персональных данных пользователей Facebook британской компании Cambridge Analytica в целях продвижения среди них определенной политической повестки, вполне закономерным представляется факт утечки информации о принципах работы российской Системы оперативно-розыскных мероприятий (СОРМ), в установке оборудования для функционирования которой принимала участие финская компания Nokia Networks. В результате халатности сотрудника Nokia Networks, осуществлявшей техническую поддержку сетей, около двух терабайтов инфор- мации, содержащей данные о конкретных устройствах и структуре сетей СОРМ, были размещены в открытом доступе. Распространенность применения оборудования СОРМ возлагает на обслуживающие информационную инфраструктуру компании большую ответственность, так как именно от деятельности таких компаний зависит как надлежащая работа всей сетевой инфраструктуры, так и безопасность пользовательских данных. Очевидно, что при реализации соответствующих решений Nokia Networks не были приняты необходимые меры, которые требуются при осуществлении деятельности в столь чувствительной для безопасности граждан и государства сфере.
К сожалению, нарушение информационной безопасности не является в наши дни чем‑то неординарным. Так, в 2017 году публичную огласку получил факт разработки ЦРУ технических средств, которые могут быть использованы для получения несанкционированного доступа к персональным данным на смартфонах, компьютерах и иных подключенных к глобальной сети устройствах. Из опубликованных в открытом доступе материалов стало известно, что для шпионажа со стороны ЦРУ могут использоваться различные компьютерные программы, сети Wi-Fi и даже антивирусные решения, используемые миллионами пользователей для обеспечения собственной информационной защиты. При этом особую озабоченность общественности вызвала возможность американской спецслужбы использовать обнаруженные ее сотрудниками технологические недостатки в Интернет-коммутаторах компании Cisco, продукция которой широко распространена во всем мире.
Приведенные примеры наглядно демонстрируют, что для обеспечения информационной безопасности категорически необходима реализация не только организационных, но и соответствующих технологических мер. Российской Федерацией в этой связи было предпринято осуществление комплекса мероприятий, направленных на обеспечение информационной безопасности и стабильности российского сегмента сетевого пространства. Посредством перехода на использование нового, отвечающего актуальным требованиям оборудования, обслуживаемого на территории России отечественными специалистами, а также посредством создания Центра мониторинга и управления связью общего пользования, обеспечивающего функционирование сетевой инфраструктуры на территории России даже в случае недружественных действий извне, направленных на прекращение предоставления доступа к Всемирной сети, Российская Федерация гарантирует собственный информационный суверенитет.
В российском законодательстве вопросам обеспечения конфиденциальности персональных данных пользователей, а также вопросам обеспечения тайны связи и переписки, в том числе в случаях, когда получение доступа к соответствующим сведениям необходимо для проведения оперативно-розыскных мероприятий, уделяется особенное внимание. Так, в частности, статьей 64 Федерального закона от 7 июля 2003 года No 126-ФЗ «О связи» предусматривается обязанность операторов связи хранить на территории Российской Федерации информацию, которая может быть использована в оперативно-розыскных целях. Указанная обязанность операторов связи обусловлена необходимостью поддержания общественной безопасности и находит свое отражение и в зарубежной законодательной практике (например, в статье 10 Общего регламента по защите данных Европейского Союза (GDPR), в пункте 6 правила 41 Федеральных уголовно- процессуальных правил США).
В соответствии со статьями 14–17 Федерального закона от 27 июля 2006 года No 152-ФЗ «О персональных данных», субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных (в том числе в части подтверждения факта обработки персональных данных, оснований и целей их обработки), право требовать прекращения обработки его персональных данных, право на обжалование действий субъектов, осуществляющих обработку персональных данных. Аналогичное регулирование действует и в иных развитых правопорядках – соответствующие гарантии предусматриваются статьями 12–22 GDPR, в США право на неприкосновенность частной жизни, которое включает в себя и защиту персональных данных, предусматривается в конституциях штатов (к примеру, в статье 7 Конституции Вашингтона, статье 1 Конституции Калифорнии, статье 23 Конституции Флориды и др.)
Кроме того, Федеральным законом от 27 июля 2006 года No 149-ФЗ «Об информации, информационных технологиях и о защите информации» в пункте 6 статьи 7 определяется, что если размещение информации в форме открытых данных осуществляется с нарушением требований законодательства, размещение информации в форме открытых данных должно быть приостановлено или прекращено по требованию уполномоченного органа по защите прав субъектов персональных данных, что также соответствует практике развитых зарубежных юрисдикций. Схожее регулирование содержится в статье 17 GDPR и было подтверждено решением Верховного Суда США по делу Fletcher v. Price Chopper Foods of Trumann, Inc.
Принципиально важным в рассматриваемом контексте является также вопрос допустимости использования зарубежного программного обеспечения. Согласно Постановлению Правительства Российской Федерации от 16 ноября 2015 года No 1236 закупки зарубежного ПО государственными и муниципальными структурами допускаются лишь в случаях, когда программное обеспечение с необходимыми функциональными, техническими или эксплуатационными характеристиками в России отсутствует. Такая мера, с одной стороны, призвана стимулировать развитие отечественной IT-сферы, и, с другой стороны, направлена на предупреждение ситуаций, аналогичных казусу Nokia Networks.
Безусловно, на настоящий момент полный отказ от зарубежных технологий и технической поддержки невозможен и не является необходимым, однако привлечение иностранных компаний для создания особенно важной информационной инфраструктуры должно осуществляться с высокой степенью осмотрительности, поскольку возможные негативные последствия могут создавать угрозу государственному суверенитету.
Несмотря на то, что на Западе все чаще и чаще раскрываются факты манипулирования персональной информацией со стороны как правительственных, так и коммерческих структур, никаких решительных действий, направленных на пресечение подобных ситуаций по какой‑то причине не предпринимается. Издание The Wall Street Journal в начале года сообщало, что сразу несколько финансовых, спортивных и медицинских мобильных приложений с помощью API Facebook Analytics отправляют личные данные пользователя напрямую Facebook без соответствующего разрешения или даже уведомления пользователя.
Другой IT-гигант, Google, как показало исследование Associated Press, хранит данные о передвижениях пользователей в отсутствие их согласия. Так, в результате использования геолокации сервисы компании могут осуществлять несанкционированное со стороны пользователей хранение личной информации, что является нарушением приватности и признанного всеми развитыми правопорядками принципа неприкосновенности частной жизни.
Не удивительно, что приведенные случаи не нашли должного отклика со стороны властей в государствах, в которых пользователи понесли наибольший ущерб, поскольку именно правительства этих стран зачастую являются бенефициарами соответствующих нарушений. Так, серьезный общественный резонанс получил проект британского правительства «Duco», в рамках которого была зафиксирована передача персональной информации 50 миллионов пользователей со стороны Facebook в целях анализа их поведения и использования полученной информации в коммерческих и политических интересах.
Непрекращающееся распространение цифровых сервисов в нашей повседневной жизни, равно как и усиление влияния международных IT-корпораций, порождает новые риски и угрозы для обеспечения неприкосновенности частной жизни граждан и национальной безопасности государств. Подобные обстоятельства требуют соразмерного ответа как в сфере принятия соответствующего нормативного регулирования, так и в технологической сфере с тем, чтобы обеспечить безопасность пользовательских данных и информационный суверенитет государства.
Инцидент, связанный с действиями сотрудника компании Nokia Networks, позволяет увидеть, насколько важной и комплексной является проблема обеспечения сохранности пользовательских данных и обеспечения конституционных гарантий тайны связи и переписки. В результате произошедших событий под угрозу были поставлены сразу несколько конституционных ценностей, необходимость защиты которых признается значительной частью мировых правопорядков. Опубликование сведений об особенностях работы системы оперативно-розыскных мероприятий способно негативно сказаться как на обеспечении тайны переписки, тайны связи и неприкосновенности частной жизни, так и на тайне следствия, что само по себе ставит под угрозу эффективность работы правоохранительных органов.
Комментарии
9
Чтобы оставлять комментарии, вам необходимо зарегистрироваться или авторизоваться.
войти или зарегистрироваться