Владимир Самохвалов

ОПРЕДЕЛЯТЬ: ... делать решенье, приговор,
постановленье властью.
Владимир Даль 1863

Определять в кутузку должны вежливо и тактично
"Вечерний Петербург" 4.08.2009

Интернет предоставляет нам невероятно гибкую, прозрачную, универсальную коммуникационную среду, возможности которой мы используем, зачастую, либо неразумно, либо не полностью. Особенно наглядно и болезненно это стало проявляться по мере вовлечения в электронные коммуникации юридически значимой информации, в частности – персональных данных. Целостность и прозрачность сети сыграли злую шутку: данные оказались слишком общедоступными, а внедряемые административно топорные методы их защиты – дорогостоящими и малоэффективными.

Разделяя протесты в адрес 152-ФЗ, все же нельзя не отметить, что ни на профессиональных форумах, ни в открытых письмах нет позитивной программы, нет предложений специалистов по радикальному решению проблемы защиты персональных данных, которая существует, к сожалению, не только в воображении чиновников.

Некая схема аутентичной идентификации, использующая традиционные для интернета, привычные для пользователей логины, ники, аватары, но в юридически значимом варианте, была предложена в статье  "Аватар вместо персональных данных". Ниже будет дано несколько упрощенное, но более наглядное изложение темы.

Роль персональных данных в информационных системах заключается в том, что они дают возможность "определить" (термин 152-ФЗ) человека, т.е. однозначно сопоставить некие информационные артефакты конкретному физическому лицу. Из-за этого при совершении практически любого сколько-нибудь значимого действия сервис-провайдерам приходится фиксировать необходимый  для "определения" набор идентифицирующих реквизитов: ФИО, место и дата рождения, номера документов и т.п., а потом еще и охранять его, подвергаясь проверкам и прочим неприятностям.

Это не что иное, как примитивная проекция в интернет традиционных методов реального мира. Но электронная среда предоставляет достаточный набор возможностей, чтобы реализовать функцию "определения" физического лица, не тиражируя по всей сети его персональные данные. В сущности, функция "определения" и сейчас прекрасно работает: если на каком-то форуме какой-то лоботряс, пусть даже прикрывшись логином, сильно обидит кого-то из власть имущих, его "определяют" настолько юридически значимо, что суд без колебаний выносит приговор.

Конечно, этому процессу нужно придать цивилизованную форму и сделать его в меру доступным и законодательно регламентированным при любом значимом электронном взаимодействии. Соответствующим механизмом могла бы быть выдача участникам коммуникаций обезличенных динамических интернет-паспортов, не содержащих персональных данных, но обеспечивающих:

а)  возможность в случае необходимости однозначно "определить" участника коммуникаций в соответствии с правами "определяющего" и законодательным регламентом такого "определения"

б) невозможность "определения" теми, кому это не положено и в ситуациях, когда такое "определение" не предусмотрено законодательно. 

Сегодня персональные данные настолько избыточно распространены, настолько многократно и массово сконцентрированы в удобные для хищения форматы, что реальная их защита практически невозможна. Отлов ритейлеров на Горбушке – достаточно бессмысленная реакция на проблему.

Но давайте задумаемся, в каких ситуациях по сути нужна семантика идентификационных персональных данных, кроме заказа визитных карточек и мемориальных табличек? В медицине, например,  врачу необходимо  иметь определенный уровень доступа к медицинским данным пациента, параметрам его медицинской страховки, а из идентификационных персональных данных знать, максимум, имя и отчество для вербального общения. В остальном процесс лечения не должен зависеть, скажем, от фамилии пациента: Иванов, Иванян, Иванидзе, адреса прописки и т.п.

Есть много ситуаций, когда необходима регистрация операции с идентификацией ее участников, чтобы обеспечить взаимные обязательства – оплата, гарантии, сервис и т.п. В целостной информационной среде все это может быть выполнено совершенно "техногенно" – без предъявления персональных данных.

Вообще я бы это назвал "тестом на системность": никакие данные, единожды зафиксированные в целостной информационной системе не должны повторно в нее вводиться. Т.е. при наличии в стране информационной системы зарегистрированный в ней гражданин НИКОГДА больше не должен быть вынужден вводить свои ФИО и другие атрибутивные данные.

Следует отличать предлагаемый механизм идентификации от всякого рода универсальных и социальных электронных карт. В силу своей материальной реализации они неизбежно несут в себе фиксированные идентификационные реквизиты. Любые фиксированные, многократно и длительно используемые реквизиты дают потенциальную возможность собрать и обобщить данные по человеку тем, кому это делать вовсе не положено.

В конечном счете, юридическая значимость коммуникаций нужна только на случай проверок и конфликтов. Из этого следует, что идентификационные данные участников коммуникаций самим участникам не нужны вообще. Недоразумения и конфликты либо разрешаются путем переговоров по тем же каналам, по которым стороны вступили во взаимодействие (т.е. в персонально-обезличенном варианте), либо к их решению должны быть привлечены правоохранительные органы.  Информационная система принципиально не должна давать материал для самосуда и неформальных разборок.

Упрощенно можно так описать процесс обезличенной идентификации: каждый участник коммуникаций получает в некотором регистрационном центре пачку обезличенных разовых электронных квитков, каждый из которых содержит некий псевдоним (логин, ник, аватар), сопровождаемый уникальным для каждого квитка кодом. Квитки могут быть параметризованы с указанием сферы применения, срока действия, лимита ответственности и т.п. Естественно, кому какие квитки выданы – запоминается. При взаимодействии в электронной среде стороны обмениваются своими квитками.

Технически имеется единственная возможность расшифровать квиток - только через того, кто его выдал. Но если кто-то запросит данные о человеке, предъявив лишь квиток, ему будет отказано. Если же будут предъявлены материалы, подтверждающих правонарушение, истцу тоже не дадут расшифровку, но в действие вступят правовые механизмы, которые уже позволят «определить» персону куда следует.

Как должна быть организована аутентификация, то есть "выдача квитков"? Поскольку вся эта система срабатывает, по существу, лишь в случае юридически значимого конфликта, а функцией "определения" (т.е. розыском для последующего принуждения) может заниматься только государство, то и первичная идентификация является неотъемлемой функцией государства. В его структуре есть соответствующее ведомство: Федеральная Миграционная Служба (ФМС). ФМС хранит наши идентификационные (т.е. необходимые для "определения") персональные данные, грубо говоря, в папочках с завязками, выпуская в белый свет лишь присвоенные нам коды.

Вторым уровнем идентификации должны служить банки, операторы мобильной связи и "Почта России"  — те, кто и сегодня уполномочен проводить идентификацию физических лиц. Они осуществляют первичную "реинкарнацию" физического лица в пространство электронных коммуникаций, устанавливая соответствие с кодами ФМС. В дальнейшем они обеспечивают человека пачками квитков, проставляя в них уже свои уникальные коды. Не то что идентификационные персональные данные, но даже коды ФМС в сети не распространяются.

В принципе, каждый участник системы электронных коммуникаций может иметь право выдавать своим контрагентам целевые интернет-паспорта уже от своего имени, сохраняя в архиве ссылку на исходный квиток, с которым контрагент у него зарегистрировался. Такой многоуровневый частно-государственный механизм хорош тем, что обеспечивает реальную техническую возможность регулирования степени контроля государством электронных коммуникаций строго рамками закона.

Возвращаясь к вопросу о защите персональных данных, обнаруживаем, что в такой среде все персональные данные, "гуляющие" по сети – обезличены. В базах данных пропадает необходимость использования идентификационных персональных данных в качестве ключевых реквизитов, поэтому хищение баз будет интересно лишь любителям статистики.

Изложенные принципы, хотя и имеют некоторые принципиальные отличия, в целом корреспондируются с принятой в США "Национальной стратегией доверенной идентификации в киберпространстве".