Учредитель журнала

Особенности информационной безопасности персональных данных и самообучающихся нейронных сетей

УДК 004.056

DOI 10.52815/0204-3653_2022_56189190_94
EDN: JDCZYW

Шонов Евгений
Студент 3 курса магистерской программы «Правовое обеспечение деятельности органов государственной власти и управления» Московского областного филиала Российской академии народного хозяйства и государственной службы при Президенте Российской Федерации (РАНХиГС).
E-mail: Shonov@rosenergo.gov.ru

Введение

Законодательство в сфере информационной безопасности представляет собой активную нормотворческую деятельность государства в части разработки методов по выявлению, предупреждению и противодействию в отношении несанкционированного противоправного доступа к информации о частных и публичных лицах с целью ее использования, раскрытия, нарушения целостности или изменения в преступных целях [1]. Современная теория информационной безопасности исследует три главенствующих компонента защиты информации (в зарубежной доктрине известные как CIA, по первым буквам компонентов):

  • конфиденциальность (англ. – сonfidentiality) – недоступность информации для неавторизованных лиц и сохранность личных данных пользователя от сторонних вмешательств, конфиденциальность обеспечивает независимое использование данных;
  • целостность (англ. – integrity) – сохранение точности и полноты исходных данных. Это означает, что данные не могут быть отредактированы, модифицированы или искажены несанкционированным способом, целостность данных обеспечивает их сохранность;
  • доступность (англ. – availability) – информация должна быть доступна авторизованному лицу при необходимости (по востребованию), т. е. данный компонент отражает возможность обратиться к информации и запрет на ограничение доступа к данным, за исключением случаев, предусмотренных законодательством.

В целом, правовое обеспечение информационной безопасности в России, хоть и расходится с общемировыми тенденциями, но все же подвержено общим глобальным веяниям и новациям в организации информационной безопасности. Оно также основано на данной триаде: конфиденциальность, целостность и доступность [2].
В соответствии с историческим процессом развития прав человека и усложнением электронно-­вычислительной техники, акцент в современном законодательстве большинства стран смещается на требования о режимах хранения информации – ее целостности и доступности. Однако это лишь глобальный тренд, не раскрывающий особенностей правового регулирования отдельных стран и не дающий актуальной репрезентации современного состояния законодательства в сфере информационной безопасности. В рамках настоящей статьи мы исследуем наиболее актуальные тренды и их потенциальное влияние на режимы информационной безопасности в России и за рубежом в долгосрочной перспективе.

Основная часть исследования

Под «современной информационной безопасностью» в рамках настоящей статьи мы будем подразумевать совокупность общемировых и национальных тенденций в сфере применения различных правовых механизмов противодействия киберугрозам и совершенствования законодательства об обязательных требованиях к режимам сбора, хранения и распространения информации, с точки зрения фундаментальных критериев конфиденциальности, целостности и доступности для авторизованных лиц.

Хакер с мобильным телефоном
Источник: grafvision / depositphotos.com

Современные эксперты в области информационной безопасности исходят из того, что непрерывное изменение технологий также подразумевает параллельный сдвиг в тенденциях кибербезопасности, поскольку новости об утечке данных, программах-­вымогателях и взломах становятся повседневной практикой организаций и правительственных учреждений [3]. Мы можем четко обозначить прослеживаемые тенденции в сфере информационной безопасности последних 7–10 лет.
Одной из тенденций современного законодательства в сфере информационной безопасности является усиление контроля за алгоритмами сбора персональных данных. Мобильные платформы, удаленная работа и другие изменения все больше зависят от высокоскоростного доступа к повсеместным и большим наборам данных, что увеличивает вероятность взлома [4].
В настоящий момент организации повсеместно собирают гораздо больше данных о клиентах – от финансовых транзакций до потребления электроэнергии и просмотров в социальных сетях. В основном, для того, чтобы понимать покупательское поведение и влиять на него, а также более эффективно прогнозировать спрос. Согласно статистике исследовательской группы портала «Domo», в 2020 г. в среднем, каждый человек на Земле создавал 1,7 мегабайта персональных данных каждую секунду [5]. Фундаментальными нормативными правовыми актами в сфере регулирования обеспечения информационной безопасности в России в части обработки, хранения и использования персональных данных работников, потребителей, клиентов и третьих лиц выступают:

  • Федеральный закон «О персональных данных» от 27.07.2006 г. № 152-ФЗ (далее – ФЗ «О персональных данных»), регулирующий обработку персональных данных средствами ЭВМ, операторы которых обязаны соблюдать установленный порядок [6];
  • Федеральный закон № 149-ФЗ от 27.07. 2006 г. «Об информации, информационных технологиях и защите данных» (далее – ФЗ «О защите информации»), устанавливающий требования к защите данных в сфере противодействия утечек коммерческих и клиентских баз данных [7];
  • «Положение о защите персональных данных, обрабатываемых в системах персональных данных», принятое Постановлением Правительства Российской Федерации от 17.11.2007 г. № 781 и содержащее обязательные правила безопасности, которые необходимо соблюдать предпринимателям при обработке и хранении персональных данных [8];
  • Федеральный закон № 38 «О рекламе» от 13.03.2006 г., положения которого регулируют законный порядок и способы обращения рекламных сообщений, отправляемых, в частности, с помощью электронных средств, включая электронную почту, SMS и т. д. [9];
  • КоАП, который регулирует вопросы ответственности за совершение административных правонарушений в связи с обработкой персональных данных или распространением маркетинговых сообщений [10].

При этом основные принципы и требования в области конфиденциальности и защиты данных для обеспечения информационной безопасности содержатся в ФЗ «О защите информации» и ФЗ «О персональных данных». Так, ст. 3 ФЗ «О персональных данных» определяет персональные данные как «любую информацию, которая прямо или косвенно относится к определенному или определяемому физическому лицу» (т. н. «субъекту персональных данных»). Конфиденциальный режим персональных данных в РФ означает государственную охрану персональных данных работников, потребителей, клиентов и третьих лиц, относящихся к:

  • расе или этническому происхождению;
  • политическим взглядам;
  • религиозным убеждениям;
  • состоянию здоровья;
  • информации из личной жизни [4].

В связи с возросшей важностью облачных вычислений юридические лица в РФ несут все большую ответственность за хранение, управление и защиту этих данных, а также за решение проблем, связанных с критически крупными объемами данных. В России в данный момент вопросы правового обеспечения информационной безопасности являются популярной темой для дискуссии и находятся в центре внимания развития законодательства. Существует ряд важных поправок, внесенных недавно или находящихся на стадии обсуждения, в частности:

  • в 2021 г. Президент РФ распорядился разработать программный документ в сфере кибербезопасности РФ;
  • в конце 2020 г. КоАП был дополнен новой статьей, устанавливающей ответственность за несоблюдение требований по ограничению доступа к информации, которая считается незаконной. Несколько недель спустя Роскомнадзор приказал сразу нескольким социальным сетям и другим платформам удалить информацию, касающуюся призывов к несанкционированным общественным протестам, и инициировал расследования, которые привели к штрафам за отказ некоторых платформ удалить эту информацию (максимальная сумма штрафа за это нарушение составляет 4 млн руб.);
  • КоАП был дополнен нормами, в соответствии с которыми невыполнение требования Роскомнадзора может привести к блокировке доступа к соответствующей платформе в России или ограничению скорости загрузки платформы);
  • в 2021–2022 гг. активной темой для обсуждения в Государственной думе стали проектные нормативные акты по внедрению дополнительных требований к иностранным IT-компаниям, которые работают в России, но не представлены на ее территории, таких как введение дополнительных налогов.

14 июля 2022 г. Президент РФ подписал Федеральный закон от 14.07.2022 г. № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности», предусматривающие масштабные изменения в области сбора, хранения и распространения персональных данных [11]. Среди основных изменений в контексте тенденции по усилению контроля за правовым режимом персональных данных мы можем выделить:

  • учреждение принципа экстерриториального режима действия ФЗ «О персональных данных». С 1 сентября 2022 г. указанный закон охватывает деятельность по обработке персональных данных граждан РФ, осуществляемой иностранными резидентами;
  • внедрение новых требований в отношении лиц, осуществляющих обработку персональных данных по поручению оператора. В частности, речь идет о требованиях о локализации серверов с данными пользователей на территории РФ, а также обязанностей по предотвращению утечки данных под угрозой юридической ответственности наряду с оператором;
  • детализация требований относительно согласия субъекта на обработку персональный данных. Закон вводит уточняющие критерии «конкретности», «информированности» и «сознательности» согласия субъекта на обработку его личной информации (ч. 1 ст. 9 152-ФЗ);
  • реформирование порядка трансграничного трансфера персональных данных. Теперь оператор должен уведомлять РКН о трансграничной передаче персональных данных и дожидаться разрешения со стороны надзорной инстанции в течение 10 рабочих дней (т. н. «уведомительный разрешительный режим»);
  • детализация законных требований относительно содержания локальных актов оператора, регулирующих алгоритмы обработки персональных данных. Оператор должен предоставлять пользователю и регуляторам подробную информацию о политике хранения и обработки персональных данных;
  • введение Роскомнадзором реестра инцидентов, связанных с утечкой персональных данных. С 1 марта 2023 г. надзорный орган будет вносить записи об инцидентах, связанных с нарушением целостности, доступности и конфиденциальности персональных данных, обязанность на уведомление РКН об утечках ложится на самих операторов [11].

Во всем мире наблюдается стремление к созданию более совершенных правил защиты данных. В 2018 г. вступило в силу знаковое постановление Еврокомиссии «О защите данных». Это постановление направлено на то, чтобы предоставить гражданам ЕС бо́льший контроль над своими данными. Похожая тенденция в контексте изменения информационно-­правового законодательства в настоящий момент поддерживается правительством Китая [4]. В 2022 г. Китай принял закон «О защите личной информации» (PIPL), который впервые устанавливает единый набор правил, касающихся сбора персональных данных (user data). Эти правила усиливают ужесточение правового регулирования, особенно в отношении данных, которые могут повлиять на работу китайских «технологических гигантов» – корпораций с объемами рыночной капитализации национального масштаба.

Пожилые люди чаще разглашают персональные данные при мошенничестве
Источник: motortion / depositphotos.com

Другой глобальной тенденцией в сфере информационной безопасности является поиск правовой идентичности и определения легальных границ для использования искусственного интеллекта, машинного обучения и обучаемых нейросетей. Какую именно функцию будет выполнять искусственный интеллект? Какую симбиотическую партию человеку составят программы по ассистированию и исполнению решений? Какова будет роль отдельных людей в интеллектуальной сети, способной со временем осмыслить окружающий мир? Почему инновации в области программного обеспечения и искусственный интеллект стали такой важной тенденцией в мировой политике и экономике? Использование передовых технологий, способных обеспечить возможности для улучшения человеческой жизни, позволит рациональным людям добиться большего прогресса и сделает их более независимыми.
Но, с другой стороны, интенсивные вложения ресурсов и знания, необходимые для постоянного создания новых программных продуктов искусственного интеллекта, оказывают негативное воздействие на человеческую экономику. Люди, вынужденные работать больше и лучше, будут страдать от снижения доходов, сокращения рабочих мест и ухудшения качества профессиональных навыков. Это может привести к возникновению социального неравенства, а также к ухудшению условий жизни и здоровья общества в целом. Однако на пути коммерциализации и масштабирования использования систем искусственного интеллекта стоят главным образом два препятствия: изменение экономики и трансформация политической системы. В контексте информационной безопасности промедление в части создания адекватного режима правового регулирования может дорого обойтись всему международному сообществу.
Так, в 2020 г. в Европе группа злоумышленников, используя передовые методы искусственного интеллекта и машинного обучения для повышения своей эффективности, применила автоматизированный алгоритм для отправки контекстуализированных фишинговых писем, которые перехватывали другие данные электронной почты, некоторые из которых были связаны с сообщениями о COVID‑19. Некоторые технологии и утилиты делают уже известные формы атак, такие как использование программ-­вымогателей и фишинг, более распространенными. Количество зарегистрированных преступлений с применением машинного обучения удваивается каждый год с 2019 г. Например, по данным экспертов, во время первой волны эпидемии вируса COVID‑19, с февраля 2020 г. по март 2021 г., количество атак программ-­вымогателей в мире в целом выросло на 148 %.
В настоящий момент степень фактической разработанности законодательства в сфере информационной безопасности, регулирующей потенциальные угрозы от использования искусственного интеллекта, машинного обучения и обучаемых нейросетей, оценивается российскими экспертами как крайне незначительная. Большая часть законодательства в данной сфере является неактуальной и не отвечающей требованиям и вызовам современной информационно-­правовой среды.
Так, например, понятие «нейронная ЭВМ», содержащееся в утратившем силу приказе ФТС России от 27.03.2012 г. № 575 «О контроле за экспортом товаров и технологий двой­ного назначения, которые могут быть использованы при создании вооружений и военной техники и в отношении которых осуществляется экспортный контроль» так и не было обновлено или детализировано в любом из более новых и актуальных нормативных правовых актов. Однако, как отмечает И. С. Бойченко, количество федеральных нормативных актов, в которых применялся бы термин «искусственный интеллект», на момент 2019 г. составляло более 150 упоминаний, в то время как понятия «нейросеть», «нейронная сеть» используются несколько реже – около 10 раз [12].
Таким образом, мы можем констатировать парадоксальную тенденцию: должностные лица и публичные спикеры от лица государства в своих обращениях, открытых письмах и проектных документах демонстрируют явное и живое внимание к обозначенным технологиям искусственного интеллекта и машинного обучения, однако на уровне федерального законодательства вопросы применения новейших технологий остаются неурегулированными.

Использование роботов с искусственным интеллектом при собеседовании
Источник: VitalikRadko depositphotos.com

Впрочем, такая картина характерна для всего мирового сообщества. Регулирование работы систем искусственного интеллекта в Китае в основном исчерпывается принятым Государственным советом Китайской Народной Республики 8 июля 2017 г. проектным документом – «Планом развития ИИ следующего поколения» (документ Государственного совета № 35), в котором Центральный комитет Коммунистической партии Китая и Государственный совет КНР настоятельно призвали руководящие органы Китая содействовать развитию искусственного интеллекта до 2030 г. [13].
В то же время Совет Европы в 2021 г. обозначил свою позицию следующим образом: организация видит целью определить области пересечения между искусственным интеллектом и европейскими стандартами в области прав человека, демократии и верховенства закона, а также разработать соответствующие решения по установлению стандартов или наращиванию потенциала. Однако, как и в РФ или Китае, европейский законодатель ограничился декларативными формулировками. Несмотря на интерес, проявленный к темам искусственного интеллекта и нейросетей со стороны правительств различных стран, даже в проектных документах большинства стран нельзя найти строго оформленных правовых статусов и юридического содержания обозначенных информационно-­правовых явлений [2].

Выводы

В настоящий момент развитие технологий и укрепление правового фундамента в области информационной безопасности в РФ выступает одним из приоритетных направлений. Это можно объяснить как общим ростом присутствия цифровых технологий в жизни общества и государства, так и возросшей активностью киберпреступников. Во всем мире наблюдается стремление к созданию более совершенных правовых режимов защиты данных: в России, ЕС и Китае широкое распространение получили меры по ужесточению контроля в сфере персональных данных.
В то же время нормативно-­правовая база и политика в области искусственного интеллекта являются новой проблемой в региональных и национальных юрисдикциях по всему миру – в России, ЕС, США и Китае. С начала 2016 г. многие национальные, региональные и международные органы власти начали принимать стратегии, планы действий и программные документы по искусственному интеллекту. Эти документы охватывают широкий круг тем, таких как регулирование и управление искусственным интеллектом, а также промышленные стандарты и вопросы этического регулирования. Тем не менее, несмотря на интерес, даже в проектных документах большинства стран нельзя найти строго оформленных правовых статусов и юридического содержания обозначенных информационно-­правовых явлений.
Чтобы стандартизировать и унифицировать практическое обеспечение информационной безопасности, ученые-­правоведы и эксперты в сфере информационных технологий сотрудничают, предлагая и формируя правовые рекомендации, стратегии и отраслевые стандарты в отношении шифрования, антивирусного программного обеспечения, систем брандмауэра, программного обеспечения для шифрования, меры юридической ответственности, осведомленности о безопасности и обучения и т. д. Мы считаем, что эта стандартизация может быть дополнительно обусловлена широким спектром законов и нормативных актов, которые влияют на то, как осуществляется доступ к данным, их обработка, хранение, передача и видоизменение. Однако внедрение любых стандартов и руководств может иметь ограниченный эффект, если не будет гарантирован процесс постоянного совершенствования механизмов правового обеспечения информационной безопасности.