7. ОТВЕТСТВЕННОСТЬ РАЗРАБОТЧИКА

«Нам нужен программист: а — небалованный, бэ — доброволец, цэ — чтобы согласился жить в общежитии...» — «Дэ, — подхватил бородатый, — на сто двадцать рублей». — «А как насчет крылышек? — спросил я. — Или, скажем, сияния вокруг головы?
А. и Б. Стругацкие. Понедельник начинается в субботу

7.1 ГРАНИ ОТВЕТСТВЕННОСТИ: ЗАКАЗЧИК, РАЗРАБОТЧИК, ПОЛЬЗОВАТЕЛЬ

Авторы раздела:
С. С. Коротких
К. С. Синюшин
Время чтения: 15 мин.
ИТ-специалисты, стараясь создать работающий сервис, склонны недооценивать важность этической составляющей. Государственный заказчик зачастую не считает необходимым прямо указывать в техническом задании этические требования, разработчик исполнитель не выходит за рамки ТЗ — и в результате этика цифрового сервиса «теряется» в процессе его разработки.
Наверное, трудно спорить с тем, что государственные цифровые сервисы пока далеки от совершенства. Системные проблемы, такие как неудобство, нестабильная работа, уязвимости, правовая неотрегулированность, затрудняют их использование, приводят к потерям времени и прямому ущербу для граждан. Тестирование сервиса, которое выполняется в процессе разработки, не может гарантировать его длительную и безупречную работу в различных условиях, не всегда должным образом изучаются и учитываются потребности разных клиентов.
Все больше государственных услуг переходит в цифровой формат, появляются новые услуги, ставшие возможными только в цифровой среде, государство все более активно использует возможности мобильных приложений и интернета вещей. При всей очевидной пользе для граждан (например, выплаты нуждающимся можно оформлять проактивно), этот тренд вызывает много опасений.
Роль госслужащих становится более значимой, их ответственность растет (подробнее см. раздел 1), но при этом многие государственные цифровые решения этически несовершенны еще на уровне планирования и проектирования (особенно связанные с отслеживанием передвижения, распознаванием лиц и т. д.), их проверкой и оценкой никто не занимается. Ведь даже безукоризненно сделанные цифровые продукты вызывают целый ряд этических вопросов, а большинству государственных продуктов в России, даже самым лучшим, далеко до совершенства.
Цитата
Много лет не имела системного решения распространенная проблема: из-за ошибочного присвоения одному физлицу двух и более ИНН у него возникают налоговые задолженности. Попытки обращения в госорганы не приводили к решению проблемы. Сотрудники ФНС на местах видели явную ошибку, но фактически оставались заложниками сложившейся системы, не имея возможности ни устранить ошибку, ни повлиять на доработку системы. Другая проблема связана с внедрением электронной подписи (ЭП). От действий мошенников, которые ее подделывают, страдают и государство, оплачивая возврат НДС по отчетности, оформленной с фальшивыми ЭП, и граждане, теряющие свою собственность. Лишь в 2020 году на портале «Госуслуги» появился сервис, который позволяет гражданину проверить, какие сертификаты электронных подписей ему выдавались. Де-юре граждане и организации могут обжаловать возникающие проблемы в суде. Де-факто судебной системе не хватает компетенций для работы с такими делами. Это фундаментальная институциональная проблема.

Константин Синюшин, управляющий партнер The Untitled Ventures
Хорошим выходом из ситуации могла бы стать система независимого аудита государственных цифровых сервисов, а также наделение разработчика особой ответственностью и публикация протоколов испытаний сервиса. Каждый случай некорректной работы приложений, который имеет последствия для жизни и деятельности людей, должен обсуждаться, государство не должно закрывать на них глаза. Необходима работающая система сдержек и противовесов. Во всех странах, где развивается цифровая экономика, возникают похожие проблемы (см. раздел 2.1 и раздел 2.2), но там, где есть независимые институты, цифровые сервисы полнее учитывают интересы разных сторон и вызывают больше доверия.
Частный заказчик может заказать внешний аудит работ, выполненных частным подрядчиком. Госорганизация в России сама заказывает, производит (или принимает у внешнего разработчика), тестирует, внедряет в работу, сама проверяет разработку, не предусматривая внешнего независимого аудита. В итоге всегда есть риск запустить цифровой сервис с серьезными недоработками. Но даже если они проявились после его запуска, культура непризнания ошибок в госсекторе приводит к замалчиванию проблем и усложняет их устранение.
Типичную ситуацию замалчивания проблемы вместо ее решения на примере утечек персональных данных россиян в государственных цифровых сервисах см.: Бегтин И. Что делать в ситуации, когда за приватность граждан никто не отвечает? // Ivan's Begtin Newsletter on digital, open and preserved government.
Цитата
У нас в госсекторе владельцев продукта просто нет. Считается, что они должны быть со стороны исполнителя. В результате заказчик не может сформулировать нормально, чего он хочет, а у исполнителя нет стимула сделать все супер. С другой стороны, как только государственные служащие чувствуют, что у них есть какие-то компетенции, они начинают пытаться делать все сами. И это тоже большая проблема.

Дарья Двинских, независимый эксперт
Заказчик, разработчик, пользователь — все они в разной степени несут ответственность за этичную работу цифрового сервиса. По мнению авторов доклада, значительная доля ответственности лежит на заказчике, который еще на этапах формирования ТЗ, тестирования, приемки может и должен предусмотреть этические проблемы и риски своего проекта, а затем на этапе сопровождения — исправлять допущенные ошибки.
Степень ответственности заказчика в госсекторе выше, чем в коммерческом секторе, поскольку государство одновременно выступает здесь и как заказчик, и как регулятор. К тому же в отличие от коммерческих сервисов у гражданина-пользователя, как правило, нет выбора: он не может пойти в другую организацию, чтобы получить водительское удостоверение, материнский капитал или свидетельство о праве собственности на недвижимость.
Цитата
Существует фундаментальная проблема недоверия к государству как равноправному субъекту взаимоотношений с гражданином. Государство зачастую ставит гражданина перед фактом: появился новый сервис, в существующий внесены изменения. В качестве примера — перевод правоустанавливающих документов в электронный вид с недостаточной защитой интересов граждан — владельцев собственности. Как было раньше? У человека был подлинник правоустанавливающего документа, у госучреждения — информация об этом документе; человек мог защитить свои права с помощью этого документа, а в случае утери — получить дубликат. Сейчас право собственности не подтверждено бумажным документом и хранится в электронном виде, так что гражданин рискует даже не узнать об изменениях (например, в случае мошенничества).

Константин Синюшин, управляющий партнер The Untitled Ventures
Разработчик на этапах разработки и тестирования должен предлагать заказчику технические решения с учетом этических рисков, наращивать свои цифровые компетенции и помогать заказчику стать более знающим, осведомленным, не ссылаясь на то, что, раз этого не было в ТЗ, «значит, меня не касается». Государственный сектор предъявляет к разработчикам дополнительные требования: использовать методы безопасного программирования, особенно внимательно относиться к использованию открытого кода (популярная в бизнесе практика не всегда подходит для государственных сервисов), осознавать свою моральную ответственность за разработки, которые повлияют на жизнь многих, если не всех граждан страны.
При создании нового цифрового сервиса желательно руководствоваться ГОСТ Р 58412-2019 «Защита информации. Разработка безопасного программного обеспечения».
Глобальная задача заказчика — составить ТЗ с учетом потребностей всех заинтересованных сторон, не нарушая при этом этические принципы. Во взаимодействии заказчика и разработчика важно регламентировать моменты, которые могут затрагивать чьи-либо интересы.
Помочь в этом призван фреймворк в разделе 6.2. Вопросы фреймворка помогут еще на первых этапах создания цифрового сервиса выявить его слабые места, продумать взаимодействие с пользователями и выявить интересы всех сторон, чтобы затем учесть все эти факторы в ТЗ. Уже разработанные сервисы также можно оценить с по-мощью фреймворка, чтобы выявить потенциальные риски и запланировать необходимые доработки.
При постановке задачи и создании цифрового решения у заказчика есть ряд обязанностей.
Детально обсудить условия контракта. Создать четкое ТЗ, подробно описать результат. Внести в ТЗ решения этического плана, например минимизацию объема собираемых пользовательских данных и периода их хранения, принципы и правила уничтожения данных по истечении срока хранения или при закрытии проекта и т. д.
Разграничить зоны ответственности. Ответственность за жизненный цикл разработки системы (создание, внедрение, обслуживание, выключение и даже полную разборку системы) несет разработчик. Он должен заранее описать не только процессы внедрения и обслуживания, но также и отключения (демонтажа) системы, в том числе действия с данными, содержащимися в системе.
Определить чувствительность типов данных и уровни доступа к информации, условия работы с ней, роли заказчика и разработчика по отношению к данным.
Создать пользовательское соглашение. Проинформировать пользователя о том, как и с помощью каких систем будут использоваться (храниться, передаваться) его данные. При реализации решения важно предусмотреть информирование пользователя на понятном ему языке (простые тексты без канцеляризмов, наглядные схемы).
Пользоваться только лицензионным программным обеспечением. Оговорить, какое программное обеспечение может использоваться при импортозамещении. Выбор программных и аппаратных решений может влиять на технические возможности разработчика и создавать ограничения, например в сфере ИБ.
Обсудить возможные риски еще на стадии разработки и принять меры для их предотвращения (возможно, внести изменения в ТЗ). Это особенно важно для тех систем, которые управляют жизненно важным производством или существенно влияют на здоровье и благополучие людей. При необходимости проводить широкое общественное обсуждение, привлекая экспертов и регуляторов, которые должны оценить риски и угрозы в зоне их ответственности.
Предусмотреть альтернативный способ, например, получения услуги, который позволит гражданину отказаться от использования цифрового сервиса без ущерба для себя (то есть обеспечить инклюзивность). Для разработки подобных решений госслужащие должны обладать достаточными компетенциями в этических вопросах.
Поддерживать взаимодействие с пользователями на этапе эксплуатации, регулярно проводить клиентские исследования, чтобы улучшать сервис с учетом обратной связи и опыта использования.
Далее на примере, разработанном одним из авторов раздела, будет показано, каким образом при создании экспертной платформы для органов государственной власти может быть применен на практике этичный подход к сбору и обработке персональных данных пользователей (в данном случае — отраслевых экспертов).
Кейс
ПРОЕКТ «РАЗРАБОТКА ЭКСПЕРТНОЙ ПЛАТФОРМЫ ДЛЯ ОРГАНОВ
ГОСУДАРСТВЕННОЙ ВЛАСТИ»


Экспертная платформа создавалась с целью обеспечить быстрое, четкое и качественное взаимодействие сотрудников органа государственной власти (ОГВ) и пользователей — отраслевых экспертов, способных давать квалифицированную и оперативную обратную связь в своей предметной области. Для разработки решения заказчик нанял подрядчика.

На этапах разработки и тестирования платформы подрядчику понадобился доступ как к ПДн экспертов, так и к данным ОГВ, которые необходимы для работы экспертов с информацией. С точки зрения этики заказчик должен выявить чувствительные данные, которые требуют большей защиты; разграничить уровни доступа к данным (секретный характер, ограниченный доступ, общего пользования); определить правила предоставления данных третьим лицам; зафиксировать эти уровни в договоре с подрядчиком о неразглашении конфиденциальной информации.

Популярный подход заказчиков и разработчиков — собирать максимум доступных данных. В случае экспертной платформы это могут быть не только ФИО, контактные данные, сведения об образовании, но и паспортные данные, место фактического проживания, сведения о предыдущем опыте работы, перечень публикаций и многое другое.

С точки зрения этики разработчик должен собирать только самую необходимую информацию. Поэтому в ходе глубинных интервью с пользователями разработчик выяснил, какая минимальная информация ему необходима для запуска продукта (достаточно ФИО, адреса электронной почты и резюме). В дальнейшем заказчик заключил пользовательское соглашение с экспертами, в котором указал типы данных и цели их сбора и обработки.

В чем проявляется этичный подход сторон?

  1. Четко разграничены зоны ответственности заказчика и исполнителя.
  2. Определяется чувствительная информация и уровень доступа к разным типам данных в зависимости от степени их чувствительности.
  3. Собирается минимум ПДн пользователей.
  4. Перечень необходимых данных определяется на этапе разработки исходя из задачи сервиса/продукта.
  5. Пользователь получает подробное объяснение, какие именно данные и с какими целями собираются.
  6. При обновлении условий обновляется пользовательское соглашение, пользователей информируют, спрашивают их согласие.
  7. Пользователь может обозначить свои права и интересы в ходе взаимодействия с заказчиком и разработчиком.
Пользователь (государственных цифровых сервисов) тоже несет ответственность за происходящее в цифровом мире. Правила кибергигиены давно известны, но пользователи до сих пор оставляют в общедоступных местах пароли, сообщают незнакомым людям коды из СМС, не глядя нажимают «Согласен», переходят по подозрительным ссылкам и т. п.
Государству предстоит повышать цифровую грамотность граждан, обучать
их цифровой самозащите. Курсы кибергигиены стали трендом, существуют
программы дополнительного образования для школьников.
Кейс
Международный центр компетенций в Республике Татарстан организует курсы по кибергигиене для детей 13–17 лет. Подростки изучают проблемы безопасности в интернете, учатся обращаться с ПДн, распознавать угрозы и противодействовать им.
Однако граждане обычно не имеют ресурсов, времени, знаний, чтобы полностью обеспечивать свою кибербезопасность. Для большинства людей слишком сложно и трудозатратно каждый раз, передавая государству или бизнесу свои данные, выяснять, достаточные ли меры принимаются для их сохранности, постоянно следить, не взял ли кто-то от их имени кредит и не поменялся ли собственник их квартиры. Кроме того, даже продвинутый пользователь не может предотвратить утечки данных, на условия хранения которых он никак не влияет (см. об этом раздел 2.1).
Цитата
Человек может быть некомпетентен в вопросах этики, информационной безопасности, может думать, что персональные данные — это только фамилия, имя, отчество и все. Маленькая галочка «Согласен на обработку персональных данных» — такая формальность, которая никак не помогает человеку осознать, какие данные и кому он отдает, как они будут храниться, как использоваться, какие риски он на себя принимает. Ответственность оператора данных здесь — прозрачно и понятно объяснять гражданину, в чем его риски, последствия и нюансы использования его данных, поместить эту информацию так, чтобы человеку было просто ее найти. Тогда человек, прежде чем оставить свой номер телефона и другую информацию о себе, сможет задуматься и принять осознанное решение.

Ксения Ткачева, директор Центра подготовки РКЦТ
Когда гражданин не понимает, как защищать свои права, он видит в новых возможностях не пользу, а угрозу. (Подробнее о доверии граждан к государству и «цифре» см. раздел 3.) Это скрытая бомба социального взрыва, и если он произойдет, восстановить доверие будет практически невозможно. Отметим, что в восприятии людей виновным в таком результате будет именно государство.
Цитата
Без учета этических норм и постоянной коррекции сервисов в соответствии с ними быстрая цифровая трансформация способов взаимодействия госслужащих (как между собой, так и с гражданами и юридическими лицами) может привести не к удобному сервисному государству, а к отторжению нового инструментария.

Анатолий Дюбанов, РЦТ Новосибирской области