Самое интересное из программы «Допрос Вассермана»
Вчера я была в гостях у Анатолия Александровича Вассермана на «Спутнике», в программе «Допрос Вассермана». Допрашивал он меня, как специалиста по информационной безопасности и как эксперта, выступающего против кампанейщины и огульной цифровизации. Мы обсудили создание единого федерального регистра лиц с определенными заболеваниями и состояниями. Ниже — самое интересное из программы.
Анатолий Вассерман: Начнем с правового поля. Наталья Ивановна, вы упоминали, что реестр, на Ваш взгляд, может нарушать не только права граждан, но и законы. При этом в официальной справке к постановлению Правительства сказано, что документ не противоречит федеральному законодательству, в том числе закону «О персональных данных» (152-ФЗ). Там указано, что пациент при заключении договора дает согласие на обработку данных. В чем вы видите лукавство?
Лукавство в том, что в постановлении прямо сказано: человек попадает в регистр по факту наличия заболевания или состояния. При этом не проверяется, давал ли он именно на это конкретное согласие или нет. А гражданин имеет право отозвать свое разрешение на обработку персональных данных. Априори получается, что все дали согласие. Но это не так.
Анатолий Вассерман: Второй закон — «Об основах охраны здоровья граждан» (323-ФЗ), закон о врачебной тайне. Там есть исключение для обмена информацией между медицинскими организациями через медицинские информационные системы. Разве реестр не под это подпадает?
Здесь вопрос: что первично? Закон приняли в 2011 году. Потом создали медицинские информационные системы, разместили туда данные, а теперь, по сути, говорят: «Вы уже в системе, теперь мы будем делать с вашими данными что хотим». Но передача данных в единый реестр — это уже не просто обмен между лечебными учреждениями. К нему, вероятно, получат доступ и другие государственные органы, например, МВД, или страховые компании, пусть и с ограничениями, фармкомпании. Информация будет «гулять». И это не то, чего хотят граждане для своих самых чувствительных данных.
Анатолий Вассерман: Поступил вопрос от слушателя Андрея: есть ли связь между этим реестром и периодически звучащими инициативами о лишении водительских прав людей старше определенного возраста?
Прямой связи, наверное, нет. Но связь прослеживается на уровне общего желания всё контролировать. Реестр, основанный на заболеваниях, легко расширять, под него можно подвести новые категории.
Анатолий Вассерман: Вопрос от военнослужащего, участника СВО: как будет обеспечиваться сохранность личной информации военных в таком реестре, особенно в условиях спецоперации?
Боюсь, военнослужащие окажутся в той же ситуации, что и все. А вопрос сохранности крайне важен. Идет война, мы видим попытки покушений. Появление в открытом доступе, или в доступе, откуда возможна утечка, медицинской информации дает врагам дополнительные инструменты для воздействия на конкретных людей. Что касается сохранности в целом — текущими методами она не обеспечивается на должном уровне. Иначе не было бы утечек данных полутора миллиардов записей. Утечки часто идут не с фронтенда — не с «Госуслуг», например, — а из самих баз данных, через человеческий фактор: оператор, получающий небольшую зарплату, может «подкинуть» данные за деньги. Получить информацию о человеке — процедура простая и дешевая. Именно поэтому я бью в колокола: уровень безопасности подобных баз данных недостаточен.
Анатолий Вассерман: Вернемся к реакциям общества. Вы провели опрос в своем Телеграм-канале. Что показали результаты?
50% респондентов заявили, что с появлением такого реестра они перестанут ходить к врачам. Это ужасающая цифра! Вместо улучшения медицинской статистики и контроля за заболеваниями мы получим обратный эффект: люди будут скрываться. Это как в бизнесе: слишком жесткий контроль заставляет уходить в тень. Люди по природе не любят, когда за ними следят, даже если им нечего скрывать.
Анатолий Вассерман: Поступил вопрос от Жанны, которая работает с недвижимостью. Она опасается «шквала откатов» старых сделок, если одна из сторон окажется в реестре лиц с психиатрическими диагнозами.
Это очень интересный и важный практический аспект. Действительно, наличие такой справки может стать формальным основанием для оспаривания дееспособности человека в сделке, даже совершенной годы назад. Это создаст огромную правовую неопределенность и поле для злоупотреблений. В Госдуме как раз рассматриваются варианты защиты добросовестных приобретателей, но реестр эту проблему может серьезно обострить.
Анатолий Вассерман: Особенно остро, судя по обсуждениям, стоит вопрос о внесении в реестр данных о психических заболеваниях.
Безусловно. Это сверхчувствительная сфера. У человека могло быть временное расстройство, он обратился за помощью, и вот он уже навсегда в регистре, из которого нельзя исключиться. Это отбивает всякое желание обращаться к специалистам, когда это необходимо. Люди будут бояться стигмы и последствий. Законодателям стоит очень хорошо подумать над тем, как учитывать такие состояния, возможно, в отдельных, максимально защищенных системах.
Анатолий Вассерман: Вы говорили о рисках тотального контроля через цифровые технологии. В чем главная опасность, помимо нарушения приватности?
Первое — непонятно, кто и по каким критериям будет судить, что правильно, а что нет. Чиновник не может знать за всех. Второе — это перетекание реальной власти. Мечта чиновника — не нести ответственность. В новой системе решения будут фактически принимать не они, а айтишники — разработчики и администраторы систем. У сисадмина есть техническая возможность, например, исключить себя из реестра или внести в него кого-то. Возникает чудовищное неравенство и возможность доминирования одной группы над другой. Денежные потоки тоже перераспределятся в их пользу. Эффект может быть обратным ожидаемому: контроль ускользнет от тех, кто его задумывал.
Анатолий Вассерман: Слушатель Валерий из Москвы задал вопрос: раз всех оцифруют, не значит ли это, что народ сможет напрямую, через те же Госуслуги, чаще выражать свою волю, проводить референдумы и влиять на решения?
Оцифровка для контроля и оцифровка для волеизъявления — это две разные вещи. Надеть «электронный ошейник» — это одно. А спросить мнение — совсем другое. Чтобы спрашивать, нужно желание это делать, нужно создавать соответствующие институты. По поводу реестра граждан никто не спрашивал. Места, куда можно прийти и легитимно выразить протест против таких инициатив, не создано. Ситуация с пандемией COVID-19 показала: много людей были против, но их мнение не повлияло на решения. Техническая возможность тотального опроса есть, но политической воли его проводить — нет.
Анатолий Вассерман: Поступают реплики от слушателей. Один пишет, что цель реестра — чтобы МВД могло оперативно узнавать, например, о том, что у человека, имеющего право на оружие, появились психиатрические проблемы.
Да, видимо, в этом одна из заявленных благих целей. Но вопрос в том, какой ценой и с какими побочными эффектами это достигается.
Анатолий Вассерман: Другой слушатель цинично, но честно замечает: «Все будут знать, у кого квартиру отжимать, кому "таблеточку не ту подсунуть"... Менты сольют всё, они на маленькую зарплату жалуются».
К сожалению, это серьезное и обоснованное опасение. Сливать данные будут все, у кого есть доступ. А как с этим бороться — неизвестно. Риски утечки и злонамеренного использования конфиденциальной медицинской информации колоссальны.
Анатолий Вассерман: В качестве итога: что вы, как специалист с 30-летним опытом в информационной безопасности, хотите донести до тех, кто принимает решения?
Я вижу в создании такой единой информационной системы очень высокие риски с точки зрения информационной безопасности и непредсказуемые негативные социальные последствия. Это «глас вопиющего в пустыне», но я надеюсь, что нам удастся привлечь внимание к этим проблемам. Возможно, еще есть время внести коррективы, пока система не запущена в полной мере. Нужно тщательно взвесить, что мы хотим контролировать, сможем ли мы это технически безопасно контролировать, и главное — согласны ли на это граждане. Пока ответ на последний вопрос, судя по всему, отрицательный.
Анатолий Вассерман: Наталья Ивановна Касперская — с подробным и тревожным анализом ситуации, связанной с появлением регистра определенных медицинских заболеваний и состояний. Будем надеяться, что к мнению экспертов прислушаются.