Понятие и правовая природа цифрового профиля человека

Важность и социальная чувствительность проблемы формирования цифровых профилей граждан обусловливают особое отношение общества к этой проблеме, поскольку подразумевается агрегирование значительного числа персональных данных о гражданах Российской Федерации в единой информационной системе1. Для обеспечения безопасности граждан и юридических лиц чрезвычайно важно исследовать и тщательно прорабатывать систему цифрового профилирования граждан сквозь призму защиты персональных данных, а также иной личной информации.

Цифровое профилирование представляет собой процесс сбора и анализа информации о человеке или организации, в том числе обращающейся в сети Интернет. Цифровой профиль может включать персональные данные, личную и семейную тайну, в том числе информацию о личных характеристиках, поведении, совершении тех или иных действий, принадлежности и социальном статусе, связях и взаимодействиях. Сфера применения цифрового профилирования постоянно растет. Если первоначально оно использовалось преимущественно в маркетинге и рекламе, то в последующем стало активно применяться в обеспечении безопасности на всех уровнях, в государственном управлении и осуществлении правосудия, при оказании государственных услуг, а также при трудоустройстве. В условиях распространения коронавирусной инфекции и массового дистанцирования цифровое профилирование стало неотъемлемой частью большинства дистанционных информационных отношений, которые предполагают формирование индивидуализации субъектного пространства и необходимости идентификации и аутентификации субъекта, что приводит к постоянному развитию цифровой профилизации и ее переходу на совершенно иной уровень.

Ранее в корпоративной среде цифровое профилирование использовалось преимущественно для защиты организации от внутренних угроз, например, для выявления подозре- ваемых сотрудников. В процессе определения, действительно ли лицо представляет опасность для организации, его поведение в сети Интернет тщательно изучалось с помощью цифрового профиля. Сегодня формирование и использование цифрового профиля используются и в целях отслеживания эффективности выполнения работником трудовой функции, и в целях проверки соответствия занимаемой должности, а также в целях поощрения сотрудников за интенсивный труд и т.п. Как верно отмечает М. Хильдебрант, «как корпоративное, так и глобальное управление требуют все более сложных средств идентификации. Якобы оправданные обращением к угрозам безопасности, мошенничеству и злоупотреблениям, граждане проверяются, обнаруживаются, а их данные хранятся, агрегируются и анализируются все больше. Потенциальные клиенты подвергаются профилированию, чтобы определить их привычки и предпочтения для предоставления целевых услуг» [10, p. 55]. При этом профилирование все больше оказывает воздействие на индивидуальную автономию лица и порой оказывает дискриминационное воздействие.

В правоохранительных органах цифровое профилирование уже традиционно используется для выявления подозреваемых лиц. Происходит формирование цифрового профиля подозреваемого, его сравнение с реальными профилями лиц и поиск преступников.

В рамках трудоустройства также традиционно используется цифровое профилирование для поиска и оценки потенциальных работников. При этом традиционная проверка сотрудников с использованием данных резюме и собеседований происходит с одновременной проверкой их цифровых профилей, а также цифровых следов в сети Интернет. Активно задействуются социальные сети, например, для профессионалов – LinkedIn, где пользователи создают профили, которые могут заинтересовать потенциальных работодателей. Анализ нахождения в тех или иных группах, участие в интернет-проектах, переписки в форумах, чатах в рамках веб-сервисов на страницах сайтов могут также быть изучены, и на их основе может быть создан специальный цифровой профиль потенциального работника [11].

Понимание «цифрового профиля» неоднозначное в современной науке и практике. Отдельные авторы цифровым профилем на- зывают «метапрофиль человека, который будет включать ссылки на юридически значимые записи о нем в других электронных государственных реестрах» [2].

Определение цифрового профиля содержится в ряде законопроектов. В законопроекте «О внесении изменений в отдельные законодательные акты (в части уточнения процедур идентификации и аутентификации)» (подготовлен Минкомсвязью России) цифровой профиль является совокупностью сведений о гражданах и юридических лицах, содержащихся в информационных системах государственных органов и организаций, осуществляющих в соответствии с федеральными законами отдельные публичные полномочия, а также в единой системе идентификации и аутентификации [4].

Аналогичное определение содержится в проекте федерального закона № 747513-7 «О внесении изменений в отдельные законодательные акты (в части уточнения процедур идентификации и аутентификации)», которым предлагается нести в Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» ст. 14.3 «Цифровой профиль» и под ним понимать совокупность сведений о гражданах и юридических лицах, содержащихся в информационных системах государственных органов, органов местного самоуправления и организаций, осуществляющих в соответствии с федеральными законами отдельные публичные полномочия, а также в единой системе идентификации и аутентификации [5]. Таким образом, мы видим, что состав данных цифрового профиля расширяется за сет информационных систем органов местного самоуправления.

К сожалению, в этом определении не определяется целевой характер формирования совокупности таких данных, а также отсутствует их качественная характеристика. Фактически любая информация в таких системах о физических и юридических лицах будет являться цифровым профилем. Полагаем, что необходимо учитывать только определенный перечень систем, из которых может формироваться цифровой профиль, сбор и обработка могут осуществляться только в соответствии с законной целью. Обязательно необходимо говорить и о достоверном и актуальном характере данных, составляющих цифровой профиль. Как справедливо указывает

А. К. Жарова, «ни один из анализируемых законопроектов в определении источников данных для цифрового профиля не учитывает данные, которые содержатся в информационно-телекоммуникационных сетях, например в Интернете. Хотя в нем обращаются данные, используя которые коммерческие компании создают цифровой профиль и принимают на его основе решения» [1]. Также она резонно приходит к выводу о том, что «цифровой профиль - это многоуровневая сложная система, формирование которой обеспечивается анализом данных, содержащихся во всех информационных системах, а также в информационно-телекоммуникационных сетях» [1, с. 61]. В данном случае речь идет о широком понимании цифрового профиля. Применительно к формированию института цифрового профиля для решения государственных целей и задач мы должны говорить об агрегировании данных на уровне официальных информационных систем, которые уже в свою очередь могут при соблюдении требований законодательства использовать данные о гражданине из информационно-телекоммуникационных сетей, в том числе сети Интернет.

Также проектом предлагается ввести понятия «инфраструктура цифрового профиля», которую предлагается определить как совокупность информационных систем в единой системе идентификации и аутентификации, обеспечивающих доступ к цифровому профилю [4]. Согласно законопроекту инфраструктура цифрового профиля создается в целях обмена сведениями в электронной форме между физическими лицами, организациями, государственными органами, органами местного самоуправления. Создание инфраструктуры цифрового профиля предполагается на основе информационных систем единой системы идентификации и аутентификации, обеспечивающих доступ к цифровому профилю, в который поступают сведения о гражданах и юридических лицах в автоматическом режиме от государственных органов, органов местного самоуправления, организаций, осуществляющих публичные полномочия, региональных цифровых профилей. Таким образом, наполнение цифрового профиля сведениями будет осуществляться за счет использования имеющихся государственных и муниципальных информационных систем. Однако анализируемый законопроект пока не принят, в отношении него был представлен ряд замеча- ний. Например, как правильно отмечается в заключение Комитета Государственной Думы Федерального Собрания РФ по государственному строительству и законодательству, следует обратить внимание, что законопроектом не определен собственник или оператор цифрового профиля, имеющий право распоряжаться сведениями. Кроме того, проектом не предусмотрено получение согласия гражданина или юридического лица на передачу сведений о нем из региональной базы во вновь создаваемый цифровой профиль, а также возмездный или безвозмездный характер такой передачи [6].

Альтернативное определение цифрового профиля предлагается сегодня рядом федеральных органов исполнительной власти. Так, Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации в Методических рекомендациях от 2 апреля 2021 г. «Сценарии использования инфраструктуры цифрового профиля. Версия 1.2» определяет цифровой профиль как совокупность цифровых записей о гражданине, содержащихся в информационных системах государственных органов и организаций [7]. Аналогичное определение содержится в Концепции и архитектуре цифрового профиля -ЕСИА 2.0, разработанной Минкомсвязи России и Банком России в рамках Плана мероприятий по направлению «Информационная инфраструктура» Программы «Цифровая экономика Российской Федерации» [8]. Это определение уже активно используется в учебной литературе [3, с. 41]. Цифровой профиль часто стали определять как совокупность цифровых записей о физических лицах и юридических лицах, содержащихся в государственных информационных системах, предоставление которых обеспечивается с использованием технологической инфраструктуры, которая позволяет использовать данные пользователя с согласия, предоставляемого в цифровом виде [9].

Данное определение еще больше вызывает вопросов, поскольку связывает цифровой профиль исключительно с информационными системами государственных органов и организаций, вводит дополнительную категорию «цифровая запись», не определяя ее при этом. Также по данному подходу цифровой профиль не распространяется на юридических лиц, в связи с чем целесообразнее было назвать его цифровой профиль гражданина.

Правда, в Сценарии использования инфраструктуры цифрового профиля дополнительно уточняется, что одной из функцией цифрового профиля является предоставление сведений о гражданине, содержащихся в Единой системе идентификации и аутентификации (далее – ЕСИА) или других государственных информационных системах, взаимодействующих с ЕСИА посредством единой системы межведомственного электронного взаимодействия (СМЭВ), с его согласия третьим лицам в интересах самого гражданина (например, предоставление банку проверенных сведений, необходимых для заполнения кредитной заявки), а также что цифровой профиль основан на:

• –    актуальных и проверенных сведениях о гражданине, содержащихся в ЕСИА и иных публичных информационных системах, связанных с ней;

• –    распределенной структуре данных, содержащей ссылки на данные, которые формируются по запросу в соответствующих государственных реестрах;

• –    возможности управления выданными гражданином цифровыми согласиями на обработку его персональных данных, полученных из цифрового профиля с помощью сервиса по управлению согласиями (платформа согласий)».

Полагаем, что подход, основанный на использовании Единой системы идентификации и аутентификации, в данном случае является оптимальным для Российской Федерации. Сегодня Минцифры России даже приняло обновленные Методические рекомендации по использованию ЕСИА от 28 апреля 2021 г. с учетом обновленных функций по реализации цифрового профилирования. Однако то, что данные цифрового профиля формируются, как указывается в определении Минцифры России «в информационных системах государственных органов и организаций», является не полным и не точным. Представляется, что данные могут быть агрегированы из любых информационных систем органов государственной власти и местного самоуправления, а также подведомственных им организаций, взаимодействующих с ней посредством единой системы межведомственного электронного взаимодействия. Такие функционирующие системы и системы, которые могут быть созданы в рамках единой системы публичной власти, закрепленной в Конституции

Российской Федерации, и должны являться основой для создания института цифрового профиля в Российской Федерации. Например, сегодня происходит активное присоединение данных банков. Так, согласно Письму Банка России от 31 августа 2020 г. № 35-3-3-2/213 «к «Цифровому профилю» подключено 11 банков, 8 банков находятся на стадии подключения и будут подключены к «Цифровому профилю» по мере готовности их инфраструктуры (в настоящее время они находятся в тестовом режиме). Список организаций, подключенных к «Цифровому профилю», будет увеличиваться».

Анализ природы цифрового профиля позволяет сформулировать следующее его определение: цифровой профиль – это совокупность актуальных, достоверных данных и иных сведений о гражданах и юридических лицах, формируемых в единой системе идентификации и аутентификации или других информационных систем органов государственной власти и местного самоуправления, а также подведомственных им организаций, взаимодействующих с ней посредством единой системы межведомственного электронного взаимодействия, в целях их предоставления с согласия соответствующих граждан или юридических лиц субъектам, запросившим доступ к этим сведениям посредством инфраструктуры цифрового профиля.

Ключевыми признаками цифрового профиля являются:

• –    совокупность данных и иных сведений (от нескольких до целой системы);

• –    формирование в отношении конкретного субъекта – человека или юридического лица;

• –    формируются в единой системе идентификации и аутентификации или других информационных систем органов государственной власти и местного самоуправления, а также подведомственных им организаций, взаимодействующих с ней посредством единой системы межведомственного электронного взаимодействия;

  – определенная цель (цели), ради которой создается профиль и функционирует, – предоставление с согласия соответствующих граждан или юридических лиц субъектам, запросившим доступ к этим сведениям посредством инфраструктуры цифрового профиля (целевые установки таких запросов при этом задаются как на уровне законодательства, так

  и на уровне организаций или даже отдельных граждан, в том числе в различных соглашениях, не противоречащих действующему законодательству). Абзац 8 пп. «а» п. 3 Положения о проведении эксперимента по повышению качества и связанности данных, содержащихся в государственных информационных ресурсах, утвержденного Постановлением Правительства Российской Федерации от 3 июня 2019 г. № 710, прямо устанавливает, что «Цифровой профиль» предусматривает управление (мониторинг) гражданином доступа организаций к необходимым сведениям о нем, содержащимся в единой системе идентификации и аутентификации, а также в государственных и муниципальных информационных системах;

• –    профиль предполагает активные действия со сведениями о субъекте – сбор, обработка, использование, распространение;

• –    функционирование профиля осуществляется на определенной цифровой платформе, в том числе информационной системе, сайте, портале. Официально сегодня он реализуется на базе Единой системы идентификации и аутентификации;

• –    функционирование неразрывно связано с информационно-телекоммуникационной сетью Интернет и Единой системой межведомственного электронного взаимодействия;

• –    всегда предполагает наличие ряда персональных данных, в связи с чем к профилю предъявляются требования законодательства о персональных данных;

  – цифровой профиль предусматривает управление (мониторинг) гражданином доступа организаций к сведениям о нем, содержащимся в единой системе идентификации и аутентификации и соответственно в иных системах, из которых формируется цифровой профиль.