Правовые основы безопасности виртуальной среды

Сразу хочу сказать, что в современном мире высоких технологий много сил и средств тратится на автоматизацию и упрощение любых алгоритмов, будь то взаимодействие человека и различных устройств или взаимодействие самих устройств между собой. Принимая во внимание нарастающие тенденции, становится понятно, что именно взаимодействию самих IoT уделяется особое внимание, и именно на этом вопросе очень хочется остановиться подробнее, чтобы понять, а остается ли для нас, людей, место в этом взаимодействии? Управляем ли мы всеми процессами рассматриваемого алгоритма, кто и в какой момент принимает решения?

Много написано о том, как в будущем все IoT будут функционировать самостоятельно, принимая решения и прорабатывая собственные алгоритмы, направленные на выполнение наших ежедневных потребностей, тем самым улучшая быт. Попробуем посмотреть на это с точки зрения рукотворного и неотъемлемого элемента человеческого общества – права. По моему мнению, именно право является и определяющим аспектом построения всего современного мира, и сдерживающим элементом контроля, устанавливающим барьер невмешательства, в том числе в частную личную жизнь граждан.

Все объекты, к которым применимо понятие IoT, оснащены интерфейсами подключения к сетям передачи данных, что крайне необходимо для идентификации этих объектов ("вещей"). В качестве таких технологий могут использоваться все средства, применяемые для автоматической идентификации: оптически распознаваемые идентификаторы (QR-коды, штрих-коды, Data Matrix), номера мобильных телефонов, IP-адреса, средства определения местонахождения в режиме реального времени. При всеобъемлющем распространении IoT принципиально обеспечить уникальность идентификаторов объектов, что, в свою очередь, требует стандартизации.

IoT- наша защита или угроза?

Еще недавно мы подробно разбирали вопрос о том, что именно необходимо учесть компании для соблюдения требований 152-ФЗ "О персональных данных". Так, например, в соответствии с п. 1, ч. 1, ст. 6 152-ФЗ "О персональных данных" обработка персональных данных осуществляется с согласия субъекта ПДн на обработку его персональных данных. Таким образом, именно этот аспект является своего рода рубежом на пути получения персональных данных, в том числе при использовании автоматических средств передачи данных.

Отдельный вопрос, хотим ли мы переходить к такому уровню автоматизации и готовы ли мы к этому. Но пройдет еще немного времени, и эти технологии прочно войдут в нашу жизнь. И тут прежде всего задаешься вопросом, присущим каждому живому существу, – вопросом безопасности, а именно: IoT – наша защита или угроза? Насколько разумно поручать устройствам выполнять ту или иную работу, перекладывая на них, в том числе, и ответственность за возможные последствия в случае чего. Так, например, возникает ряд вопросов относительно того, кому предъявлять претензии в случае, если беспилотный автомобиль, не дай бог, собьет человека? Вариантов несколько, и только досконально проработав каждый, разграничив зоны ответственности элементов или компаний, задействованных в движении беспилотного автомобиля, можно определить правильный алгоритм и прийти к нужному результату. Помимо правовых аспектов, подобные вопросы рождают непримиримую дискуссию сторонников и противников популяризации IoT.

Принимая во внимание все перечисленные аспекты, приходишь к выводу, что наиболее правильно доверять только проверенным устройствам, но даже на этом этапе есть риски, связанные с возможностью взлома любого устройства.

Говоря о концепции IoT как о неотъемлемом элементе общества и простирая взор научно-технического прогресса в будущее, по обычаю проводишь аналогии с нашим настоящим, думая о том, а как будет работать закон тогда. Но уже сейчас, используя, например, приложение для смартфона, которое осуществляет мониторинг ряда показателей во время твоей пробежки в парке, необходимо дать приложению согласие на обработку персональных данных.

Конечно, далее все происходит автоматически, и все опции, доступные этому приложению, в полном объеме собирают информацию о нас и отправляют на некие серверы. И вот тут, невольно задумываясь об объеме полученной информации, понимаешь, что этот объем растет, потому как совокупность полученной информации – это уже не те отдельные элементы данных о человеке, а целостная картина, позволяющая, например, определить возможные отклонения в здоровье, а это уже категория данных о человеке, которую можно смело отнести к врачебной тайне. Совокупный объем данных, представляющий собой информацию о состоянии здоровья человека, – это и есть та часть, которая должна охраняться врачебной тайной и не должна никому быть известной.

Стоит отметить, что ответственность за разглашение таких сведений вполне реальна. Так, например, в соответствии с частью 1, 2, ст. 13 Федерального закона (№ 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации") к сведениям, составляющим врачебную тайну, разглашение которых не допускается, в том числе после смерти гражданина, относятся:

• сведения о факте обращения гражданина за оказанием медицинской помощи;
• сведения о состоянии здоровья и диагнозе гражданина;
• иные сведения, полученные при медицинском обследовании и лечении гражданина.

Разглашение и наказание

Таким образом, медицинская организация обязана соблюдать врачебную тайну во всех случаях, пока гражданин или его законный представитель не дали письменное согласие¹ на передачу этих сведений другим лицам (п. 4 ч. 1 ст. 79², ч. 3 ст. 13³ Закона от 21.11.2011 № 323-ФЗ). Но можно сказать, что эти требования относятся только к медицинским учреждениям. Так ли это на самом деле?

В соответствии со ст. 13.14⁴ КоАП РФ (ч. 1 ст. 28.4⁵ КоАП РФ) гражданин вправе обратиться к прокурору с заявлением о возбуждении дела об административном правонарушении. В примечании к указанной статье говорится, что КоАП РФ предусматривает административную ответственность за разглашение информации, доступ к которой ограничен федеральным законом (в том числе врачебной тайны), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей. Исключение составляют случаи, если разглашение такой информации влечет уголовную ответственность. Также стоит отметить, что гражданин вправе обратиться в Следственный комитет РФ с заявлением о возбуждении уголовного дела по признакам преступления, предусмотренного ст. 137⁶ УК РФ (п. "а" ч. 2 ст. 151⁷ УПК РФ).

В примечании к указанной статье говорится, что ст. 137⁸ УК РФ предусматривает уголовную ответственность за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия, либо распространение этих сведений в публичном выступлении, публично демонстрируемом произведении или СМИ, а также за те же деяния, совершенные лицом с использованием своего служебного положения. Из приведенных статей ясно, что к ответственности может быть привлечено любое лицо, нарушающее ФЗ. Вот и получается, что ради комфорта мы неизбежно жертвуем неприкосновенностью личной жизни, сведениями о состоянии здоровья, наших интересах и пр. Выходит, что пока приложения и IoT не выполняют никаких действий без их подтверждения, требования закона соблюдаются, но внимательность при подтверждении тех или иных прав на доступ к конфиденциальной информации явно не будет лишней. Не исключено, что в какой-то момент многие принципы построения взаимодействия между правом и технологиями сильно поменяются под влиянием последних. Эта тенденция прослеживается уже сегодня на фоне того, как предприятия различного уровня воспринимают ИТ-безопасность, изменяя стандарты защиты корпоративных данных. Вполне возможно, что возрастет и наша безопасность, что позволит сделать жизнь еще более комфортной без ущерба для общества.