Ассоциация разработчиков программных продуктов (АРПП) опубликовала в среду адресованное председателю профильного комитета Госдумы письмо с критикой принятой в первом чтении редакции законопроекта о противодействии мошенничеству – «законопроект преследует важные, социально значимые цели, но содержит явные лакуны и некоторые опасные или нереализуемые предложения», сказано в документе.
В чём опасность
Оставляя в стороне терминологические и редакционные недочёты, технические проблемы реализуемости законопроекта и отсутствие в нём необходимых, по мнению АРПП, положений (всё это лучше прочесть не в нашем изложении, а в самом письме, ссылка выше), сосредоточимся на том, что представляется главным: гражданских правах и информационной безопасности граждан России.
1. Законопроект предусматривает «хранение векторов единой биометрической системы, полученных на основании записей голосов, полученных с помощью звукозаписывающих устройств, лиц, совершающих противоправные действия с использованием сети связи общего пользования».
Это прямое нарушение 152-ФЗ «О персональных данных».
Действительно, в п. 1 ст. 6 упомянутого закона сказано, что «обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных». Данных, более персональных, чем биометрические данные, в частности, голос, у человека не существует – биометрию не изменишь бюрократической процедурой, как, например, имя и фамилию; если биометрия попала в утечку, это непоправимо.
Между тем, в законопроекте говорится, что «в государственной информационной системе противодействия правонарушениям (преступлениям), совершаемым с использованием информационно-телекоммуникационных технологий, осуществляется в том числе хранение векторов единой биометрической системы (ЕБС), полученных на основании записей голосов, полученных с помощью звукозаписывающих устройств, лиц, совершающих противоправные действия».
Но заносить какие-либо данные в ЕБС и хранить их без согласия гражданина нельзя. По закону гражданин вправе требовать удаления своих биометрических данных из ЕБС.
2. Очевидная уязвимость – термин «противоправные действия» не определяется. Можно было бы довольствоваться естественным смыслом этого словосочетания, но недопустимо, что в тексте законопроекта нет главного: сведений о том, кто и как устанавливает факт совершения «противоправного действия».
3. Прослушка телефонных разговоров незаконна как таковая, даже если слушать разговор будет робот. На сей счёт существует отечественный прецедент: в 2015 году суд в Москве признал нарушением закона автоматическое отслеживание содержимого почтовых ящиков Gmail ради демонстрации таргетированной рекламы.
4. Главная же опасность состоит в том, что у честного гражданина нет практической возможности отстоять своё доброе имя, если предполагаемая законопроектом ГИС внесёт сигнатуру его голоса в ЕБС, записав человека в мошенники. Такое более чем вероятно. Возможны и даже неизбежны технические ошибки, а также, что самое печальное, настоящие злоумышленники могут имитировать чужой голос именно для дискредитации конкретного человека.
Надежды нет
Текст письма АРПП (14 страниц) подготовлен профессионалами от информационных технологий, специалистами по ИБ в том числе. Их аргументация вполне убедительна и не должна быть проигнорирована.
Чувствуется рука Натальи Касперской, человека, принимавшего участие в подготовке последней редакции Конституции. Ей уже приходилось оказываться правой в ситуациях, когда мало кто верил её заранее опубликованным предупреждениям – как в случае с «фирменной» прослушкой устройств Apple.
Но прогноз неблагоприятен: вряд ли с мнением АРПП будут считаться при принятии законопроекта. Второе чтение ожидается уже 25 марта. Успеть существенно изменить текст технически невозможно. Это тем более странно, что сроки вступления в силу важнейших частей законопроекта, которые должны вводиться немедленно, предусмотрены с 2026 года.
Копии письма АРПП ушли также в Минцифры и Общественную палату, что тоже не поможет.
Едва ли поможет позвать на помощь президента России. Процитируем тем не менее его недавнее выступление, а именно слова о необходимости соблюдать ранее установленные нормы, не оправдывать нарушение этих норм целесообразностью: «Вот обсуждают какой-то политический вопрос: делаем так, так, так. Извините, думаешь: блин! Я иногда говорил: «Так же нельзя, это же противоречит…» – «Ну, ничего, противоречит – так целесообразно». Вот и всё. И там это давно всё применяется в сфере политики. Сейчас и в сфере экономики пошло уже в полный рост всё».
