Напрями розвитку правового регулювання управління ідентифікаційними даними

Постановка проблеми. Запровадження нових форм міжнародної співпраці, зокрема електронного транскордонного співробітництва, є одним з пріоритетних напрямів розвитку світового співтовариства. Електронне транскордонне співробітництво, в тому числі управління ідентифікаційними даними та управління ідентифікаційними даними в транскордонному режимі, на сьогодні потребує законодавчого регулювання.

Міжнародний правотворчий процес в галузі управління ідентифікаційними даними (далі - УІД) традиційно очолює Комісія ООН з прав міжнародної торгівлі і Європейська економічна комісія. Комісією на постійній основі проводиться робота щодо підготовки Типового закону, який стане основою для регуляції та розвитку національних законодавств у сфері УІД практично для всіх країн світу.

Як ми вважаємо, дефініція “управління ідентифікаційними даними” передбачає наступну редакцію: управління ідентифікаційними даними - процеси, функції та процедури отримання, перевірки, реєстрації, збереження, використання, захисту, знищення ідентифікаційних даних суб'єктів та об'єктів. Суб'єктами сфери управління ідентифікаційними даними є фізичні, юридичні особи або представники юридичної особи; об'єктами сфери управління ідентифікаційними даними виступають системи зі штучним інтелектом та пристроїв Інтернет речей (ІоТ).

На сьогодні в міжнародному праві та національному праві окремих держав не досягнуто єдиної узгодженої правової позиції або процедури, яка буде універсальним правовим механізмом УІД, в тому числі і транскордонному режимі. Врегулювання суспільних відносин, які виникають у процесі застосування процедур та процесів УІД є наразі актуальною проблемою.

Результати аналізу наукових публікацій. Питання правового регулювання суспільних відносин, які пов'язані з застосуванням даних ідентифікації в різних сферах життєдіяльності людини досліджують О.А. Баранов, В.М. Брижко, В.Б. Вєхова, І.Д. Горбенко, М.В. Крачевський, В.Г. Пилипчук, О.В. Потій, О.Е. Радутний, О.В. Різник, Н.А. Савінова, В.Я. Тацій та інші. Дослідження в сфері регулювання управління ідентифікаційними даними більш прикладної спрямованості здійснюють S. Bouzefrane, K. Cameron, K. Tracy, M. Hansen, E. Kosta, S. Fischer-Hubner, E. Pimenidis, J. Kok-Keong Loo, M. Aiash, M. Tistarelli, A. Cavoukian.

Крім того, науковцями багатьох міжурядових груп, приватних міжнародних груп і комерційних структур активно вивчається питання управління ідентифікаційними даними і наявні в цій галузі можливості, розробляються технічні стандарти і процедури, а також здійснюється пошук шляхів реалізації життєздатних систем ідентифікації.

Останнім часом наукова спільнота багато зусиль спрямовує на технічну реалізацію систем УІД, але правове регулювання процесів управління такими даними не здійснюється зовсім або здійснюється вибірково чи виключно для конкретної ситуативної процедури. Переважно розглядаються процеси систем управління інформаційною безпекою або захисту персональних даних фізичних та юридичних осіб. Однак в цілому питання правового регулювання УІД, як правового міжгалузевого інституту, що впливає на багато аспектів суспільного життя, не розглядається.

Метою статті є огляд правових підходів реалізації процесів та процедур, аналіз правового регулювання механізмів, опрацювання нових напрямів досліджень та перспектив щодо правового регулювання управління ідентифікаційними даними за матеріалами Комісії ООН з права міжнародної торгівлі і Європейської економічної комісії.

Виклад основного матеріалу. Починаючи з 2014 року Робочою групою IV (“Електрона торгівля”) Комісії ООН з прав міжнародної торгівлі (далі - UNCITRAL) здійснюються заходи щодо вирішення правових питань, пов'язаних з управлінням ідентифікаційними даними та довірчими послугами. Саме UNCITRAL розглядає механізми юридичного оформлення актами міжнародного права процесів та процедур управління ідентифікаційними даними, а також як необхідність визначення правових вимог щодо забезпечення розробки та впровадження необхідних правових норм в будь-якій юрисдикційній системі або національному законодавстві.

Завданням UNCITRAL є створення правової основи, з метою надання юридичної підтримки державам у вирішенні правових питань, які можуть виникнути в зв'язку з використанням систем управління інформаційною безпекою та які не можуть бути охоплені встановленими умовами в окремих договорах. Створення типового нормативно-правового акту сприятиме модернізації чинних національних законодавств з метою усунення бар'єрів і невизначеності, а також заповнення прогалин у діючому законодавстві, що стосується систем УІД (далі - СУІД).

UNCITRAL розглядає чотири парадигми правової та технологічної регуляції процедур та процесів управління ідентифікаційними даними:

- Положення управління ідентифікаційними даними за проектом Всесвітнього банку [1];

- Концептуальна модель управління ідентифікаційними даними на основі elDAS [2];

- Трирівнева модель управління ідентифікаційними даними за пропозиціями Сполучених Штатів Америки [3; 4];

- Модель транскордонного простру довіри у сфері електронної торгівлі за пропозицією Російської Федерації [5].

Розглянемо пропозиції США щодо застосування трирівневої моделі управління ідентифікаційними даними та підходи юридичної регуляції цієї сфери.

Управління ідентифікаційними даними включає комплекс заходів, процесів і процедур, що дозволяють ідентифікувати фізичну або юридичну особу та засвідчити справжність ідентифікаційних даних.

Системи управління ідентифікаційними даними - це складні багатосторонні системи, які призначені для гармонізованого та узгодженого поєднання процесів і технологій, в яких беруть участь безліч окремих суб'єктів, кожен з яких виконує одну або кілька заздалегідь визначених функцій у відповідності із попередньо погодженим сценарієм юридично обов'язкових принципів, процесів і процедур з метою забезпечення надійності та достовірності операцій з ідентифікаційними даними.

Такими суб'єктами виступають не тільки фізичні особи, а й юридичні особи: органи державної влади, приватні організації, реєстраційні органи, контролери достовірності ідентифікаційних даних, постачальники атрибутів, постачальники посвідчувальних послуг, постачальники ідентифікаційних даних, постачальники послуг з видачі ідентифікаційних облікових даних, постачальники послуг з перевірки, концентратори ідентифікаційних даних тощо.

Процеси управління ідентифікаційними даними складаються із: збору та перевірки даних (атрибутів) про окремий суб'єкт (процес ідентифікації); надання ідентифікаційних даних, що містять один або кілька таких атрибутів (процес видачі ідентифікаційних облікових даних); співвіднесення ідентифікаційних атрибутів в цих ідентифікаційних облікових даних з конкретною особою (процес встановлення автентичності).

Структури СУІД можуть бути централізованими, інтегрованими або розподіленими. Кожна СУІД має свій юридично обов'язковий набір правил функціонування, що регулюють її роботу. Такі правила функціонування виконують три важливі функції:

- забезпечення правильної роботи СУІД, а саме: визначення принципів, процедур і процесів, необхідних для роботи системи;

- визначення обов'язків і зобов'язань кожного учасника, а також його юридичної відповідальності і (якщо це необхідно) визначення і розподіл ризиків відповідальності;

- встановлення додаткових вимог, які забезпечують надійність та достовірність інформації в СУІД.

Це різноманіття векторів функціонування СУІД ускладнює роботу над розробкою універсального підходу до вирішення технічних та правових проблем управління ідентифікаційними даними.

США в своїй доповіді звертає увагу на те, що у СУІД, які застосовуються в публічному секторі, правила функціонування зазвичай складаються у формі деталізованого закону або нормативного акту, наприклад: індійський Закон Аадхаара, Закон про ідентифікаційні документи в Естонії [6] та Постанова про eIDAS в ЄС [7].

Як правило державне законодавство складається з норм, прийнятих у формі законів або підзаконних актів урядовими органами. В той же час, якщо СУІД застосовуються в приватному секторі, то правила функціонування приймають форму договору, положення якого є обов'язковими для учасників системи.

Як зазначають експерти США до прикладів різних структур СУІД, продемонстрованих на Всесвітньому економічному форумі в 2016 році [8], відносяться системи, зокрема, внутрішні, зовнішні, централізовані ідентифікаційні, федеративні і розподілені ідентифікаційні.

Інші більш нові структури включають СУІД на базі концентратора і незалежних систем, а також СУІД з використанням мобільних телефонів.

Кожна СУІД відрізняється від інших і, отже, вимагає унікального набору правил функціонування, пристосованих до її структури, технології, цілі, ринкового профілю та профілю ризику. У СУІД публічного та приватного секторів використовуються найрізноманітніші структури і технології, всі вони вимагають різних підходів до складання правил функціонування.

На думку фахівців, спроби нав'язати єдиний універсальний набір таких правил для всіх систем будуть заважати розвитку таких СУІД в громадському і приватному секторах.

На п'ятдесят п'ятій сесії Робочої групи IV (“Електронна торгівля”) Комісії ООН з права міжнародної торгівлі Сполучені Штати Америки запропонували парадигму управління ідентифікаційними даними, яка базується на правовій моделі трирівневої системи управління ідентифікаційними даними.

Тобто правова база, відповідно до якої функціонує будь-яка СУІД, буде складатися з трьох рівнів (або ступенів) законодавства.

Рівень І. Верхній і загальний рівень - чинне національне законодавство. Тобто національне законодавство, яке включає законодавчі та нормативні акти, а також судові рішення, повинно забезпечити регулювання всіх видів комерційної діяльності. Зазначене законодавство не є спеціалізованим для сфери управління ідентифікаційними даними. Воно включає загальне законодавство про договори, законодавство про цивільні правовідносини, законодавство про недоторканність приватного життя, законодавство про контроль над експортом, гарантійне законодавство, законодавство про захист прав споживачів, законодавство про конкуренцію, банківське законодавство тощо.

Рівень ІІ. Другий рівень законодавства - законодавство про ідентифікаційні системи. Воно призначене спеціально для регулювання всіх СУІД, незалежно від їх типу, структури, технології або мети. Законодавство про ідентифікаційні системи рівня ІІ також є державним законодавством, і воно призначене для вирішення проблем, які створює чинне законодавство рівня І для всіх СУІД, може заповнювати деякі прогалини, які не охоплені законодавством рівня І. Воно повинно знаходитися між чинним законодавством рівня І і окремими договірними правилами функціонування СУІД рівня ІІІ. Рівень ІІ цієї правової бази буде служити мостом між рівнем І і рівнем ІІІ.

Рівень ІІІ. Третій рівень законодавства - індивідуальні (корпоративні) правила, що регулюють функціонування СУІД і складаються з договірних правил функціонування систем. Такі правила будуть складатися спеціально для кожної системи або конгломерації систем з метою регулювання прямих взаємовідносин. На відміну від законодавства про ідентифікаційні системи рівня ІІ, яке застосовується до всіх СУІД, правила функціонування рівня ІІІ пропонується розробити із урахуванням унікальних потреб конкретних систем. Такі правила функціонування можуть бути досить деталізованими або навпаки спрощеними, але повинні відповідати законодавству рівня І і ІІ.

США, в своїй пропозиції , наголошують, що необхідно створювати правову базу, яка дозволить сформувати і розвивати надійну екосистему ідентифікаційних даних, в рамках якої в публічному і приватному секторі можуть успішно функціонувати багато СУІД всіх типів, які будуть підтримувати національну та глобальну торгівлю. Також такий підхід сприятиме гармонізації та модернізації чинного національного законодавства.

Для створення сучасної правової бази у сфері управління ідентифікаційними даними США пропонують:

- розглянути концепції операцій з ідентифікаційними даними і СУІД різних рівнів;

- вивчити необхідність і роль правил функціонування, які регулюють роботу кожної окремої СУІД в публічному і приватному секторі;

- проаналізувати загальну правову базу, яка регулює СУІД, та визначити роль і місце сучасного типового закону управління ідентифікаційними даними в редакції UNCITRAL.

Також США надано проект дефініцій у сфері управління ідентифікаційними даними:

- “Система ідентифікації” (identity system) означає онлайнову систему для управління ідентифікаційними даними, яка регулюється набором системних правил (іменованих також структурою довіри) і в якій фізичні особи, організації, служби і пристрої можуть довіряти один одному, оскільки авторитетні джерела встановлюють і засвідчують справжність їх ідентифікаційних даних [9].

- “Ідентичність” або “ідентифікаційні дані” (identity) означають: а) інформацію про конкретного суб'єкта в формі одного або декількох атрибутів, що дозволяють суб'єкту бути в достатній мірі відмінним в певному контексті; b) набір атрибутів відносяться тій чи іншій особі, які однозначно характеризують цю особу в даному контексті.

- “Управління ідентифікаційними даними” (identity management) означає набір прийомів, що дозволяють управляти процесами ідентифікації, автентифікації і авторизації фізичних і юридичних осіб, пристроїв та інших суб'єктів в онлайновому режимі.

- “Операція з ідентифікаційними даними” (identity transaction) означає будь-яку операцію з двома або більше учасниками, яка включає встановлення, перевірку, видачу, підтвердження, анулювання, передачу або використання ідентифікаційної інформації.

- “Рівень забезпечення довіри” (level of assurance} означає встановлення ступеня впевненості в процесах ідентифікації і автентифікації, тобто: а) ступеня впевненості в процесі перевірки, використовуваної для встановлення ідентичності об'єкта, якому були видані облікові дані, і b) ступеня впевненості в тому, що об'єкт, який використовує облікові дані, є тим самим об'єктом, якому були видані облікові дані. Рівень забезпечення довіри відображає надійність використовуваних методів, процесів і технологій [10].

Сполучені Штати Америки досить критично ставляться до концептуальної моделі управління ідентифікаційними даними на основі elDAS та моделі транскордонного простру довіри у сфері електронної торгівлі за пропозицією Російської Федерації.

Що стосується моделі управління ідентифікаційними даними на основі elDAS основні ризики вбачаються в тому, що в ній застосовуються правила функціонування СУІД для публічного сектора, що складаються з різних постачальників ідентифікаційних даних в країнах ЄС, які пропонується поширити на всі СУІД в глобальному масштабі. Проблема полягає в тому, що ці правила призначаються для публічного сектора, однак їх пропонується вважати еквівалентом договірних правил функціонування, які регулюватимуть конкретні СУІД в приватному секторі. Тобто, недоцільною і необґрунтованою вважається позиція нав'язування правил функціонування СУІД публічного сектора в усіх інших системах. Також занепокоєння викликає й те, що модель на основі eIDAS ґрунтується на централізованому механізмі регулювання та встановлення стандартів і сертифікації СУІД. Однак, в глобальному плані не існує такого централізованого механізму для підкріплення положень такої моделі, особливо в транскордонному режимі. Крім того, транскордонний режим моделі на основі eIDAS забезпечується лише у разі існування угоди конкретного типу, укладеної між ЄС і третьою країною.

Модель транскордонного простру довіри у сфері електронної торгівлі за пропозицією Російської Федерації також викликає багато питань, оскільки запропоновано більш технічне рішення, що засноване на створенні технічних міждержавних кластерів довіри. Основний ризик полягає в тому, що такі кластери мають обробляти ідентифікаційні дані і виступати в якості третьої довірчої сторони. На думку США, створення такого механізму в глобальному масштабі значно обмежить можливості вільної торгівлі і призведе до необґрунтованого надмірного контролю за будь-якими транзакціями.

Висновки

Проблематика сфери управління ідентифікаційними даними торкається всіх сфер суспільних відносин. Вказана сфера є сучасною і стрімко розвивається, на що вказує існування безліч національних та регіональних законодавчих підходів до правового регулювання управління ідентифікаційними даними, і деякі з них вже досить добре опрацьовані. Опрацьовані підходи можуть слугувати базою при розробці належних правових рамок на міжнародному рівні, що в подальшому можливо запроваджувати в різні вже існуючі правові системи.

Робочою групою IV Комісії ООН з права міжнародної торгівлі і Європейською економічною комісією здійснюються заходи з метою розробки Типового закону для регулювання управління ідентифікаційними даними та загальної правової основи в даній сфері.

Таким чином, зважаючи на суттєві позитивні кроки, наявний науково-технічний та правовий потенціал, Україна має реальну перспективу досягти значного успіху в участі у загальносвітовому процесі правового впорядкування сфери управління ідентифікаційними даними, в тому числі і на національному рівні.

Використана література

2. A/CN.9/WG.IV/WP.164 United Nations. URL: https://undocs.Org/ru/A/CN.9/WG.IV/WP.164 (дата звернення: 15.09.2021).

3. A/CN.9/WG.IV/WP.165 United Nations. URL: https://undocs.org/ru/A/CN.9/WG.IV/WP.165 (дата звернення: 15.09.2021).

4. A/CN.9/WG.IV/WP.145 United Nations. URL: https://undocs.org/ru/A/CN.9/WG.IV/WP.145 (дата звернення: 15.09.2021).

5. A/CN.9/WG.IV/WP.141 United Nations. URL: https://undocs.Org/ru/A/CN.9/WG.IV/WP.141 (дата звернення: 15.09.2021).

6. Identity Documents Act URL: https://www.riigiteataja.ee/en/eli/ee/504112013003/consolide (дата звернення: 15.09.2021).

7. eIDAS Regulation (Regulation (EU) N910/2014) URL: https://ec.europa.eu/futurium/en/ content/eidas-regulation-regulation-eu-ndeg9102014 (дата звернення: 15.09.2021).

8. A Blueprint for Digital Identity. World Economic Forum, August 2016. URL: http://www3. weforum.org/docs/WEF_A_Blueprint_for_Digital_Identity.pdf (дата звернення: 15.09.2021).

9. A/CN.9/WG.IV/WP.153 United Nations. URL: https://undocs.org/ru/A/CN.9/WG.IV/WP.153 (дата звернення: 15.09.2021).

10. A/CN.9/WG.IV/WP.150 United Nations. URL: https://undocs.org/ru/A/CN.9/WG.IV/WP.150 (дата звернення: 15.09.2021).

Размещено на Allbest.ru