В. ПРАВОВЫЕ ОСНОВЫ УПРАВЛЕНИЯ ГОСДАННЫМИ
Авторы: М. А. Ильященко, Д. А. Кзылходжаева, В. А. Сохоров
Время чтения: 19 мин.
Принципы и механизм управления государственными данными обозначены в основных стратегических документах Российской Федерации. В последнее время управление данными становится предметом еще и нормативноправового регулирования. Содержательные аспекты работы с данными подчинены прежде всего требованиям информационного законодательства: в нем установлены правовые режимы информации, на основе которых выделяются правовые режимы данных. Существование различных правовых режимов данных обеспечивает их надлежащую обработку и полноценное участие в информационном обмене.
В1 Система управления данными — основа цифровизации госуправления
Создание полноценной системы управления качеством данных госсектора названо в документах стратегического планирования страны необходимым условием достижения целей социально-экономического развития. В Стратегии развития информационного общества в РФ на 2017−2030 годы предусмотрено совершенствование регулирования в сфере обеспечения безопасной обработки информации и применения новых технологий, упорядочение алгоритмов обработки данных и доступа к таким данным. Важность доступа к наборам данных, особенно обезличенным, обозначена в Стратегии развития ИИ. Для достижения национальных целей правительству поручено обеспечить создание инфраструктуры высокоскоростной передачи и обработки больших объемов данных, доступной для всех организаций и домохозяйств.
Указ Президента РФ от 09.05.2017 № 203 «О Стратегии развития информационного общества в Российской Федерации на 2017–2030 годы» // Официальный интернет-портал правовой информации.
Указ Президента РФ от 10.10.2019 № 490 «О развитии искусственного интеллекта в Российской Федерации» // Официальный интернет-портал правовой информации.
Паспорт национального проекта «Национальная программа „Цифровая экономика Российской Федерации"» // Министерство цифрового развития, связи и массовых коммуникаций РФ.
Меры по повышению эффективности управления данными предусмотрены и в отраслевых проектах. Согласно федеральному проекту «Цифровое государственное управление» госорганы обязаны внедрять разного рода цифровые платформы в целях организации межведомственного взаимодействия, облегчения предоставления услуг, обеспечения прав граждан. В связи с этим на базе системы госуслуг в 2020 году была запущена платформа «Цифровой профиль гражданина», которая становится единым цифровым «окном» для взаимодействия гражданина с государством и бизнесом.
Паспорт федерального проекта «Цифровое государственное управление».
Тег: цифровой профиль // D-Russia.ru.; 3,5 млн согласий на предоставление различных сведений дано за год работы цифрового профиля // Министерство цифрового развития, связи и массовых коммуникаций РФ.
До 2024 года планируется интеграция пространственных данных из регионов в Единую цифровую платформу, запланировано создание к 2024 году генеральной схемы развития центров обработки данных. Также утверждена Концепция создания и функционирования национальной системы управления данными. НСУД (см. раздел 3.1.2) закрепляет единые для всех ГИС стандарты качества данных и требования к управлению ими. Чтобы сделать госданные более доступными, проводится эксперимент по использованию компонентов НСУД для обмена сведениями в электронной форме между физическими лицами, банками, госорганами.
Постановление Правительства РФ от 01.12.2021 № 2148 «Об утверждении государственной программы Российской Федерации «Национальная система пространственных данных» // Официальный интернет-портал правовой информации.
Паспорт федерального проекта «Информационная инфраструктура».
Распоряжение Правительства РФ от 03.06.2019 № 1189-р «Об утверждении Концепции создания и функционирования национальной системы управления данными и плана мероприятий („дорожной карты") по созданию национальной системы управления данными на 2019–2021 годы» // ГАРАНТ.РУ.
Постановление Правительства РФ от 17.08.2021 № 1361 «О внесении изменений в постановление Правительства Российской Федерации от 3 июня 2019 г. № 710» // Правительство России.
В2 Классификация государственных данных
В российском законодательстве понятие «данные» как отдельная правовая категория не выделяется, а включено в качестве одной из характеристик более общего понятия — «информация» (о связи этих терминов см. раздел 2.1). Поэтому и правовой статус данных регулируется правовым режимом информации, который установлен исходя из целей сбора и назначения данных. При этом технические параметры «данных» сформулированы в государственных стандартах.
П. 1 ст. 2 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
ГОСТ Р ИСО/МЭК 20546–2021. Национальный стандарт Российской Федерации. Информационные технологии. БОЛЬШИЕ ДАННЫЕ // Электронный фонд правовых и нормативно-технических документов.
Основы регулирования и разграничения информации были определены в Федеральном законе от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». В соответствии с ним органы власти в рамках своей компетенции реализуют права и обязанности обладателя (или оператора) информации от имени Российской Федерации, того или иного субъекта РФ или муниципального образования. Госорганы — не собственники, а администраторы собираемых данных; они используют данные (в том числе совместно с другими уполномоченными органами) для достижения целей социально-экономического развития страны, региона, муниципалитета.
По уровню доступа поступающие и хранящиеся государственные и муниципальные данные подразделяются на общедоступную информацию и информацию ограниченного доступа. Исходя из принципа гласности государственного и муниципального управления по общему правилу информация, создаваемая органом власти, является общедоступной. Общедоступная информация может использоваться любыми лицами по их усмотрению. На другом конце спектра находятся конфиденциальные сведения, отнесенные к информации ограниченного доступа на основании федерального закона (см. подробнее в разделе B4). Это, в первую очередь, персональные данные физических лиц, а также информация, составляющая государственную, служебную и другие виды тайн. Следует отметить сложность разграничения информации ограниченного доступа: нередко каждая категория данных имеет несколько подкатегорий со своими особенностями, а сами границы могут быть нечетко очерчены законодателем или изначально являются динамичными.
Закон РФ от 21.07.1993 № 5485–1 «О государственной тайне».
Постановление Правительства РФ от 03.11.1994 № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти».
Учитывая значимость данных частных субъектов для создания «больших данных» следует особо выделить категорию персональных данных (о них и о проблемах работы с ними см. раздел 3.2.1). В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ-152) персональные данные — это любая информация, которая прямо или косвенно позволяет определить физическое лицо (или сделать его определяемым по тем или иным признакам). То есть персональные данные — это не только паспортные данные, но и другая информация о человеке (например, уровень доходов, место проживания). Кроме того, особо чувствительные сведения (например, о состоянии здоровья) относятся к специальной категории персональных данных.
Согласно ФЗ-152, обработка персональных данных должна осуществляться на законной и справедливой основе, то есть для достижения конкретной, заранее определенной цели в интересах субъекта персональных данных, после чего эти данные подлежат уничтожению. По общему правилу обработке персональных данных должно предшествовать получение согласия субъекта персональных данных на такую обработку. Однако для госструктур установлено исключение из этого правила для предоставления государственных и муниципальных услуг, судопроизводства и в некоторых иных случаях. Также не требуется согласие субъекта, если данные предоставляются в исследовательских целях в обезличенном виде согласно требованиям, утвержденным Приказом Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
В3 Требования к защите данных и информационному обмену
Установление правового статуса данных необходимо для определения мер их защиты, а также вовлечения этих данных в информационный обмен. С точки зрения внутренних процессов к государственным данным предъявляются повышенные требования даже при обработке общедоступной информации. Например, государственные информационные ресурсы чаще всего используются в формате ГИС, для которых установлены специальные требования к порядку их эксплуатации. В свою очередь, ГИС должны соответствовать определенным требованиям информационной защиты даже при хранении данных, не относящихся к государственной тайне.
Постановление Правительства РФ от 06.07.2015 № 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации».
Приказ ФСТЭК России от 11.02.2013 № 17 // ФСТЭК России.; Приказ ФСБ РФ и ФСТЭК России от 31.08.2010 № 416/489 // ГАРАНТ.РУ.
В качестве операторов персональных данных госструктуры должны обеспечивать конфиденциальность персональных данных (не раскрывать их другим лицам, кроме прямо предусмотренных законом случаев), а также принимать специальные организационно-технические меры, направленные на обеспечение и защиту обрабатываемых персональных данных. Эти меры перечислены в Постановлении Правительства РФ от 21.03.2012 № 211, а также в подзаконных актах ФСТЭК России.
Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом „О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» // Правительство России.
Если же говорить о взаимодействии за пределами контура госоргана, то законодательство накладывает на структуры государственного и муниципального звена значительные требования по обязательному раскрытию информации, в том числе а) в виде открытых данных и б) через систему межведомственного электронного взаимодействия.
а
Федеральный закон от 09.02.2009 № 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления» (далее — ФЗ-8) устанавливает перечень и структуру тех данных, которые обязаны обнародовать государственные органы и органы местного самоуправления. Общедоступная информация о деятельности госорганов и органов местного самоуправления предоставляется неограниченному кругу лиц в форме открытых данных. Открытые данные — это информация, размещаемая ее обладателями в сети «Интернет» в формате, допускающем автоматизированную обработку (см. подробнее в разделе 3.1.3).
В развитие ФЗ-8 было принято Постановление Правительства РФ «Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти». Требования к порядку размещения открытых данных установлены также Распоряжением Правительства РФ от 10.07.2013 № 1187-р219 и Приказом Минкомсвязи России от 27.06.2013 № 149 220.
В развитие ФЗ-8 было принято Постановление Правительства РФ «Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти». Требования к порядку размещения открытых данных установлены также Распоряжением Правительства РФ от 10.07.2013 № 1187-р219 и Приказом Минкомсвязи России от 27.06.2013 № 149 220.
Постановление Правительства РФ от 24.11.2009 № 953 // Правительство России.
Распоряжение Правительства РФ от 10.07.2013 № 1187-р «О перечнях информации о деятельности государственных органов, органов местного самоуправления, размещаемой в сети „Интернет" в форме открытых данных» // Правительство России.
Приказ Минкомсвязи России от 27.06.2013 № 149 «Об утверждении Требований к технологическим, программным и лингвистическим средствам, необходимым для размещения информации государственными органами и органами местного самоуправления в сети „Интернет" в форме открытых данных, а также для обеспечения ее использования» // Гарант.
б
В Федеральном законе № 210-ФЗ от 27.07.2010 «Об организации предоставления государственных и муниципальных услуг» закреплен механизм межведомственного взаимодействия при предоставлении этих услуг, соответствующий административным регламентам.
Следует отметить, что в соответствии с Постановлением Правительства РФ от 20.07.2021 № 1228 к 31 декабря 2022 года все административные регламенты государственных услуг федерального уровня должны быть переведены в цифровой (машиночитаемый) формат. Цифровые регламенты будут формироваться с помощью конструктора стандартных текстовых блоков на базе ФГИС «Федеральный реестр государственных и муниципальных услуг (функций)». Ожидается, что это нововведение поможет более подробно описать «клиентский путь» пользователя государственных услуг, а значит — индивидуализировать процесс оказания услуг, сделать его проактивным.
Следует отметить, что в соответствии с Постановлением Правительства РФ от 20.07.2021 № 1228 к 31 декабря 2022 года все административные регламенты государственных услуг федерального уровня должны быть переведены в цифровой (машиночитаемый) формат. Цифровые регламенты будут формироваться с помощью конструктора стандартных текстовых блоков на базе ФГИС «Федеральный реестр государственных и муниципальных услуг (функций)». Ожидается, что это нововведение поможет более подробно описать «клиентский путь» пользователя государственных услуг, а значит — индивидуализировать процесс оказания услуг, сделать его проактивным.
Постановление Правительства Российской Федерации от 20.07.2021 № 1228 // Официальный интернет-портал правовой информации.
В4 Проверка правового режима данных: чек-лист
1
Для эффективной работы с данными целесообразно определиться с перечнем действующих нормативных правовых актов, которые ограничивают возможность распространения данных (федеральные, региональные законы и подзаконные акты, ведомственные правовые акты).
2
Имеющиеся в активе данные необходимо инвентаризировать не только с учетом источников их поступления, но и подразделяя на классификационные категории — структурировать данные по степени ограничений их распространения (здесь пригодится ранее сформированный перечень НПА, не придется делать двойную работу).
Информация подразделяется на конфиденциальную (ограниченная по распространению или запрещенная в соответствии с законодательством РФ) и общедоступную. К информации, ограниченной к распространению или запрещенной, относится та, распространение которой регулируется законодательно:
- сведения, составляющие государственную тайну (их перечень определен Указом Президента РФ от 30.11.1995 № 1203);
- конфиденциальная информация (служебная, коммерческая, врачебная, банковская, нотариальная, налоговая, аудиторская, адвокатская тайна и т. п.);
- информация об охраняемых результатах интеллектуальной деятельности;
- информация, признанная имеющей экстремистский характер;
- пропаганда наркотиков;
- пропаганда суицида;
- продукция порнографического характера, в том числе детская порнография;
- продукция эротического характера;
- реклама;
- предвыборная агитация;
- нецензурная брань;
- сведения и материалы, порочащие репутацию граждан и юридических лиц;
- изображения граждан (в том числе несовершеннолетних).
Очевидно, что ограниченная к распространению информация (из большинства перечисленных выше пунктов) не образуется в деятельности государственных органов, но вполне может содержаться в общедоступных источниках в сети «Интернет» (например, в социальных сетях). Поэтому особенно тщательной проверке и классификации подлежат данные, полученные именно из общедоступных источников. Данные, образующиеся в деятельности государственных органов, также следует разграничивать на общедоступные и ограниченные к распространению (например, информация для служебного пользования).
3
Дополнительно стоит учитывать также свойства информации: при достижении определенного объема данных или объединении сетов неконфиденциальных данных в определенных комбинациях информация может становиться конфиденциальной. Например, данные за квартал не являются конфиденциальными, за год — могут стать конфиденциальными; данные по области — неконфиденциальные, по федеральному округу или всей стране — конфиденциальные.
4
В ведомстве рекомендуется определить структурные подразделения, должностных лиц, ответственных за работу с данными (например, они непосредственно участвуют в создании и обработке данных, осуществляют мониторинг изменений НПА в части ограничений распространения данных в своей отрасли и т. п.). Работа таких структурных подразделений (должностных лиц) должна строиться в тесном взаимодействии с подразделениями, отвечающими за информационную безопасность.
5
Результаты инвентаризации и отнесения данных к определенным категориям позволят произвести маркировку данных, имеющихся в активе (на уровне метаданных приводится описание дополнительных свойств данных, касающихся возможности и условий их распространения или предоставления). Маркированные данные в дальнейшем позволят оперативно определять, имеет ли информация статус общедоступной или она ограничена к распространению, каковы условия ее распространения или передачи. Это повысит скорость и эффективность принятия решений, связанных с управлением данными.
6
Далее следует произвести проверку элементов ИТ-инфраструктуры на предмет соответствия уровня их защищенности и хранящихся и обрабатываемых в них маркированных данных. Результатом такой проверки должно стать распределение и хранение данных в соответствии с их категорией в информационных системах с надлежащим уровнем защищенности.