Идентификация субъектов в цифровом пространстве: несколько правовых проблем

Современный мир находится в постоянном процессе обмена информацией. Не только физические, но и юридические лица все активнее входят в цифровое пространство и используют его возможности: общаются, создают и передают контент, совершают различные юридически значимые действия, совершают сделки и т. д. Все это со всей остротой ставит проблему идентификации физических лиц, юридических лиц и соответствующих устройств, обеспечивающих персонализацию в интернет-среде. Юридическая наука не остается в стороне от осмысления этой проблемы: появился ряд содержательных публикаций, рассматривающих различные аспекты правового регулирования цифрового пространства, анализирующих проблемы статуса личности и ее идентификации в информационной среде [5]. В настоящей статье будет предпринята попытка сформулировать правовые аспекты идентификации личности в цифровой среде. До последнего времени юристы не слишком часто анализировали указанную проблему; практически отсутствуют и фундаментальные исследования по указанному вопросу [4].

Постановка проблемы

Вообще говоря, идея осуществления эффективной идентификации лиц не нова: достаточно вспомнить в истории прошлого удостоверительные грамоты, грамоты, содержащие описания физических особенностей лиц, наконец, современные свидетельства о рождении, паспорта — все эти письменные документы преследовали одну цель — удостоверить, подтвердить идентичность обладателя документа.

Цифровой век внес свою лепту — и вот уже различные сервисы требуют от пользователей осуществить процедуру идентификации, ввести определенные учетные данные. Сегодня мы с полным основанием можем говорить о проложившей себе дорогу новой закономерности социальных отношений в цифровом мире для того, чтобы человек себя «зафиксировал» в виртуальном пространстве, он должен, пользуясь соответствующими устройствами, себя обозначить, сделать себя «видимым» для миллионов других лиц, находящихся в сети Интернет.

Цифровое представление личности становится необходимым и фундаментальным условием осуществления большинства внешних действий в Интернете: для того, чтобы получить возможность участия в современных социальных, экономических, юридических процессах. Это же относится к юридическим лицам, которые тем более эффективны в своей деятельности, чем больше проводят экономически выгодных транзакций, одним из условий которых является цифровая идентификация.

В связи со сказанным, следует обратить внимание на проблему № 1, которая заключается в следующем. Поскольку цифровые формы идентичности необходимы для нашего виртуального существования, становится ясно, что существующая в цифровом мире концепция удостоверения личности является достаточно громоздкой и многоступенчатой. Ряд стадий предполагают включения субъекта в обязательные процессы, используемые для проверки и аутентификации, требуют ручной сверки данных и их проверки в фоновом режиме.

Проблема № 2 носит субъективный характер и заключается в том, что множество людей попадают в многочисленные стрессовые ситуации, связанные с необходимостью генерировать, помнить, воспроизводить заданное имя пользователя, пароли, помнить ответы на сгенерированные системой вопросы и т. д. Эту задачу не все способны выполнить с легкостью. Другая сторона этой проблемы заключается в том, что субъект, предоставляя данные о себе, утрачивает способность этими данными управлять. Действительно: не известно как долго заинтересованные структуры цифрового мира будут имеет доступ к предоставленным личностью данным, и можно ли нейтрализовать возможные интенции на монетизацию предоставленных данных.

Наконец, проблема № 3 может быть сформулирована следующим образом: между режимами идентичности и системами запроса на идентичность, отсутствует доверие. Это проявляется в том, что те системы, которые постоянно присутствуют в цифровом пространстве (работающие, например, в сфере государственных услуг, торговли, финансов и пр.) и требующие подтверждения идентификации личности требуют тысячи цифровых и физических учетных данных для каждой услуги.

Пути решения проблем

В связи с поставленными проблемами, обратимся за их решениями к средствам права. На этот счет есть один действующий нормативно-правовой акт — Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» [1], который в ст. 1 определил, что им «регулируются отношения, связанные с обработкой персональных данных.

осуществляемой... юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях». При этом под персональными данными понимается «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)» (ст. 4 закона). В целом закон, несмотря на свой скромный объем (всего 25 статей) устанавливает общие правила, требования и нормы по работе с персональными данными. Однако при этом остаются неурегулированными с помощью средств права такие ситуации, когда требуются более полные сведения о том или ином лице. Например, если возникают правоотношения в сфере предоставления банковских и иных финансовых услуг. Для этого в западной деловой практике сформулирован принцип KYC — «знай своего клиента» (от ан гл. know your customer).

Вышеупомянутый федеральный закон на этот счет молчит. Между тем, представляется действительно важной ситуация, когда организации и компании, работающие, например, с деньгами частных лиц, испытывают объективную потребность установить личность контрагента, идентифицировать его и только затем осуществить финансовую операцию. Целями таких идентификационных процедур является воспрепятствование деятельности по отмыванию денег. Именно об этом говорит федеральное законодательство о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма [2]. Примечательно, что в ст. 3 отмеченного закона устанавливается возможность так называемой «упрощенной идентификации лица», под которой понимается «совокупность мероприятий по установлению отношении клиента — физического лица фамилии, имени, отчества (если иное не вытекает из закона или национального обычая), серии и номера документа,удостоверяющеголичность, и подтверждению достоверности этих сведений одним из следующих способов: с использованием оригиналов документов и (или)надлежащим образом заверенных копий документов; с использованием информации из информационных систем органов государственной власти. Пенсионного фонда Российской Федерации, Федерального фонда обязательного медицинского страхования и (или) осударственной информационной системы, определенной Правительством Российской Федерации; с использованием единой системы идентификации и аутентификации при использовании усиленной квалифицированной электронной подписи или простой электронной подписи при условии, что при выдаче ключа простой электронной подписи личность физического лица установлена при личном приеме». Становится очевидным, что упрощенной такую идентификацию можно именовать лишь условно.

Наконец, обратимся к специальному регулированию отношений, связанных с идентификацией лиц. Пример такого правового регулирования мы обнаруживаем в институтах банковского права [3]. В ст. 1 Положения содержится обязывающая норма о том, что еще до приема на обслуживание (выделено мной — авт.) кредитная организация обязана идентифицировать физическое или юридическое лицо, иностранную структуру без образования юридического лица, индивидуального предпринимателя, физическое лицо, занимающееся в установленном законодательством Российской Федерации порядке частной практикой. Этим же документом устанавливается право кредитной организации на ведение досье клиента в электронной или бумажной форме.

Оценивая в целом правовой режим идентификации лица, установленный в российском законодательстве, можно указать на некоторые недостатки и существующего правового регулирования идентификационной процедуры.

Во-первых, физические лица не имеют (или почти не имеют) права выбора тех данных, которые они хотели бы передать контрагенту;

Во-вторых, собственно технические процессы аутентификации (например, в сфере банковских услуг, коммунальныхуслуг и пр.) достаточно не дружественны пользователю, они утомительны и нередко носят повторяющийся характер;

В-третьих, установленный режим идентификации не гарантирует 100 % надежности и эффективности самого процесса идентификации.

Заключение и вывод

Развитие новых информационных технологий предлагает новое решение — цифровую аутентификацию. Это средство обещает лучшую структуру данных для идентичности, но влечет за собой изменение традиционных средств данных о личности (с одной стороны), и наращивание возможностей цифровой идентификации с использованием технологии биометрической идентификации

(с другой стороны). В последнем случае речь идет об использовании расширенного числа метрических данных — распознавания лиц, дыхания, радужной оболочки глаза, чело веческой походки и т. д. Видимо, будущее именно за этим способом идентификации, и важно чтобы российское законодательство своевременно его регламентировало.