Поставщиком информации в государственную информационную систему является лицо, на которое возлагается обязанность предоставления информации для размещения в данной информационной системе в порядке, предусмотренном федеральным законом или правовыми актами государственных органов.
Среди лиц, выступающих в роли поставщиков информации в ГИС, можно выделить две неравнозначные категории:
1) государственные органы и организации со стопроцентным государственным участием, их должностные лица;
2) иные лица, в том числе граждане, негосударственные организации, органы местного самоуправления.
Поставщики информации, «внутренние» по отношению к системе государственного управления, – государственные органы, их должностные лица – относительно неплохо защищены. Возложение на них обязанности по предоставлению информации в ГИС при необходимости может быть обеспечено кадровыми и финансовыми ресурсами. Государственные информационные системы в основном создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами (п. 1 ст. 14 Закона об информации), то есть система государственного управления в целом выигрывает от внедрения таких систем.
Внешние поставщики информации (граждане и негосударственные организации, а во многих случаях и органы местного самоуправления) обычно не заинтересованы в исполнении этой обязанности — она ложится на них дополнительным бременем и вступает в противоречие с их интересами.
Государственные органы могут создавать информационные системы для эффективного исполнения возложенных на них контрольно-надзорных полномочий, полномочий по ведению государственных реестров, оказанию государственных услуг и иных полномочий. Если государственные органы сами предоставляют сведения в такие системы и сами же их используют149, то правовое регулирование отношений по поводу такой информационной системы на уровне федерального закона вовсе не оправдано.
Нередко возникает необходимость возложения обязанности по формированию и ведении системы силами государственных органов исполнительной власти, но в интересах «внешних» пользователей информацией. Типичным примером являются официальные сайты государственных органов, создаваемые во исполнение закона о доступе к информации. В соответствии с общим правилом, установленным в ст. 14 Закона о доступе к информации, правовое регулирование соответствующих обязанностей государственных органов должно осуществляться на уровне правовых актов высшего органа исполнительной власти.
Обязанность поставщиков информации по предоставлению сведений установлена практически для всех информационных систем. Обязанность предоставления определенной информации подразумевает обязанность соответствующего субъекта организовать также сбор такой информации в случае, когда он не является ее обладателем.
Многие информационные системы носят комплексный характер, в них хранятся и обрабатываются сведения из различных источников. Для таких информационных систем в нормативных актах должно быть установлено соответствие между информацией и ее поставщиками. Обязанность по предоставлению информации в государственные информационные системы должна возлагаться на «внешних» поставщиков информации исключительно на основании федерального закона. В подзаконных нормативных актах Правительства РФ или уполномоченных органов исполнительной власти данная обязанность может конкретизироваться. Например, уточняются сроки и периодичность предоставления информации, данные, образующие соответствующие категории сведений, и т.д.
Достоверность информации и своевременность ее предоставления отнесены к основным принципам правового регулирования отношений, возникающих в сфере информации, информационных технологиях и о защите информации (п. 6 ст. 3 Закона об информации). В соответствии с этим принципом, а также принципами, специально установленными в отношении отдельных ГИС, на участников информационного взаимодействия может быть возложена обязанность обеспечить достоверность информации, размещенной в таких информационных системах. Поставщик информации несет ответственность в отношении представляемых им сведений, а оператор информационной системы обеспечивает их целостность уже в процессе использования.
Принцип полноты (и соответствующая обязанность) является менее однозначным. Он может трактоваться по-разному. Во-первых, как полнота информации в ГИС. Во-вторых, можно говорить о полноте информации, предоставленной поставщиком. Здесь свойства полноты и достоверности оказываются взаимосвязанными. Наконец, полнота может рассматриваться как свойство конкретной информации, предоставленной поставщиком. Чтобы объективно оценить, насколько добросовестно исполняется обязанность по предоставлению информации, должна отсутствовать неопределенность в том, какие именно сведения и в каком объеме должны быть предоставлены. Надежнее всего добиться этого, утвердив формы предоставления информации или перечень конкретных показателей.
Чтобы добиться полноты и достоверности информации в федеральных ИС, необходимы обеспечительные меры, а именно установление ответственности за нарушение поставщиком информации его обязанностей. При определении характера и степени такой ответственности необходимо учитывать цели создания информационной системы и способы использования хранящейся в ней информации.
Добросовестный поставщик информации, обнаруживший ошибку при предоставлении информации в систему (вызванную сбоем технического оборудования, человеческим фактором или неполнотой/недостоверностью информации, имеющейся у самого поставщика на момент предоставления), должен иметь возможность ее исправить. Такая возможность должна предоставляться как технически (функционалом информационной системы), так и организационно (закрепленным в нормативных правовых актах регламентом предоставления информации в систему). Право на своевременное исправление ошибки добросовестным поставщиком соответствует принципу полноты и достоверности информации в государственных информационных системах и позволяет поставщикам информации эффективно исполнять возложенные на них обязанности.
Ответственность поставщиков информации формально декларируется для 40% информационных систем, созданных на основании федерального закона. Реальная ответственность установлена лишь для 21%. Непредоставление сведений (либо предоставление неполных, недостоверных, не актуальных сведений) значится в диспозиции статей 7.30, 7.31, 7.32.3, 8.28.1, 13.19.1, 14.4.1, 19.7.7, 19.7.9 КоАП РФ. В статьях 14.19, 14.51, 14.54, 14.60 КоАП РФ используются более общие формулировки: например, «нарушение установленного порядка проведения специальной оценки условий труда», который включает обязанность предоставления информации в ГИС.
Если для одних систем ответственность поставщиков информации явно завышена, то для большинства она не предусмотрена вовсе, что приводит к неисполнению ими обязанностей. Эта проблема характерна также для многих государственных реестров (многие из которых ведутся без использования автоматизированных средств, с помощью традиционных «бумажных» технологий и не рассматриваются нами как информационные системы в соответствии с определением Закона об информации).
Устанавливая порядок предоставления информации в ГИС, регулятор в первую очередь должен определить способ взаимодействия поставщика информации с системой при внесении в нее сведений. Чаще всего этот способ зависит от возможностей уже разработанной информационной системы – соответственно, порядок предоставления сведений утверждается незадолго до внедрения системы в эксплуатацию или даже после этого на уровне подзаконных нормативных актов. От способа предоставления могут зависеть некоторые обязанности поставщиков информации.
2. Правовой статус пользователей. Право на доступ к информации.
Под пользователем государственной информационной системы понимается лицо, имеющее право на получение всей или определенной информации, содержащейся в системе. В широком смысле категория «пользователь информационной системы» включает всех лиц, осуществляющих взаимодействие с системой, но целесообразно разделение правового статуса поставщиков и пользователей инфо рмации. Правовой статус пользователей государственных информационных систем включает право на доступ к информации, хранящейся в ГИС, и в ряде случаев обязанность использования этой информации в определенных целях или определенным образом. Основными принципами обеспечения доступа к информации являются ее открытость и доступность (п. 1 ст. 4 закона о доступе к информации).
Доступ к информации ограничивается только в случаях, если указанная информация отнесена в установленном федеральным законом порядке к сведениям, составляющим государственную или иную охраняемую законом тайну, причем перечень таких сведений и порядок их отнесения к информации ограниченного доступа устанавливается федеральным законом (ст. 5).
Информация о деятельности государственных органов, в том числе содержащаяся в государственных информационных системах, может быть отнесена к одной из двух групп в зависимости от условий и порядка ее распространения:
1. Открытая (общедоступная) информация, доступ к которой может быть получен путем запроса информации, а также в иных формах, установленных нормативными правовыми актами. Согласно ч. 2 ст. 7 ФЗ № 8, предпочтительным является предоставление информации в том виде, в каком она имеется в государственном органе – в нашем случае это означает предоставление доступа к информационной системе. В случаях, установленных законом, такая информация подлежит размещению в сети «Интернет» (в том числе в форме открытых данных).
2. Информация ограниченного доступа, которая предоставляется в порядке и на условиях, установленных нормативными правовыми актами. В свою очередь, информация ограниченного доступа может быть разделена на отдельные группы сведений (которые при этом могут совпадать или пересекаться), предназначенные для различных категорий пользователей. В качестве особой категории следует выделить информацию, которая не составляет охраняемую законом тайну, но доступ к которой в соответствии с нормативными правовыми актами, регулирующими правовой режим информационной системы, предоставляется ограниченному кругу пользователей. Представляется, что к указанной категории может быть отнесена лишь информация, не входящая в информационный ресурс системы, а имеющая обеспечительное, техническое значение: классификаторы, справочники, метаданные, логины/пароли пользователей, данные журналов аудита и пр. В противном случае ограничение доступа должно быть специально установлено федеральным законом.
Единый подход к установлению правового статуса пользователей государственных информационных систем отсутствует, в настоящее время можно выделить несколько относительно устойчивых подходов, которые могут быть классифицированы по двум критериям: а) способ соотнесения различных категорий пользователей информационной системы и той информации, к которой им предоставляется право доступа, и б) порядок доступа к информации в системе.
По способу соотнесения различных категорий пользователей и информации в ГИС выделяют следующие группы:
1. "Пользователи - информация". Выделяются категории пользователей ГИС и для каждой из них устанавливаются сведения, к которым обеспечивается доступ. Дополнительно могут быть указаны основания, необходимые для доступа к сведениям.
Соотнесение сведений с категориями пользователей представляется оптимальным для информации ограниченного доступа. Для общедоступной информации оно не имеет смысла, как и указание на цели ее использования, поскольку в соответствии с ч. 3 ст. 8 Закона об информации пользователи не обязаны обосновывать необходимость ее получения.
2. "Конфиденциальная информация по запросу". Признается, что информация в системе по умолчанию является открытой, за исключением информации ограниченного доступа. Открытая информация размещается в сети Интернет. Информация ограниченного доступа предоставляется в виде ответа на запрос. Решение о предоставлении доступа к конкретной информации или отказе в таком доступе принимается оператором информационной системы.
Основания ограничения доступа к информации могут быть уточнены: государственная тайна, коммерческая тайна, персональные данные и т.д. При подаче заявки на регистрацию федеральной информационной системы в реестре федеральных государственных информационных систем оператор указывает сведения о наличии (отсутствии) в федеральной государственной информационной системе сведений, отнесенных к информации ограниченного доступа. Различные виды тайн отличаются как по правовому статусу пользователей и обладателей, по лицам, в интересах которых устанавливаются ограничения доступа, так и по последствиям разглашения такой информации. Соответственно, различные виды тайн предполагают различные правовые режимы и различные программно-технические средства обеспечения доступа и защиты. Для многих информационных систем остаются неопределенными не только категории пользователей, но и состав конфиденциальных сведений.
3. "Информация - пользователи". Отдельно указываются сведения ограниченного доступа и их пользователи, отдельно - общедоступная информация. Хотя такой подход, на первый взгляд, является наиболее целостным, на практике он опасен избыточностью. Дело в том, что в нормативных правовых актах, регулирующих правовой режим ГИС, как правило, устанавливается перечень сведений, подлежащих предоставлению в систему, либо перечень информации, хранящейся в системе, а в некоторых случаях - сразу оба этих перечня. Добавление к ним третьего - перечня сведений, предоставляемых пользователям системы, - потребует значительных усилий регулятора по их синхронизации иоправданно только в двух случаях:
а) системы-агрегаторы, которые предназначены для работы с объединенным массивом сведений, хранящихся в иных государственных и муниципальных информационных системах. Информационный ресурс таких систем целесообразно определять именно через перечень информации, предоставляемой ее пользователям;
б) автоматизированные системы, в которых на основании введенных в них сведений создаются новые сведения (например, статистические данные), не присутствующие в иных перечнях. Оптимальный способ нормативного закрепления перечня предоставляемой из ГИС информации (как общедоступной, так и ограниченного доступа) состоит, в том, чтобы не повторять пункты иных перечней (если такие перечни есть), а ссылаться на них.
4. Отдельного упоминания заслуживают государственные информационные системы, вся информация в которых является общедоступной. Для таких систем представляется важной специальная норма, относящаяся к правовому статусу поставщиков информации и оператора ИС: "Вносимая в государственную информационную систему информация не должна содержать сведения, составляющие государственную или иную охраняемую законом тайну" (например, п. 4 Постановления Правительства РФ от 20.08.2013 N 719 "О государственной информационной системе государственного надзора в сфере образования").
5. Встречаются случаи, когда право доступа к информации в ГИС никоим образом не регулируется. Это характерно для ситуации, когда единственным государственным органом, использующим систему для исполнения своих функций, является оператор системы, де-факто обладающий всеми необходимыми полномочиями доступа. Примером служит Автоматизированная система контроля перевозок этилового спирта и спиртосодержащей продукции на территории Российской Федерации. На наш взгляд, такой подход к правовому регулированию государственных информационных систем является неоправданным.
В настоящее время используются следующие способы доступа к информации в ГИС:
1. Размещение на официальном сайте (уполномоченного органа, оператора информационной системы или самой системы). Наиболее подходящий способ доступа к общедоступной информации (в том числе к открытым данным).
2. Предоставление информации по запросу. Оптимальный способ для «разового» получения информации ограниченного доступа, а также как «резервный» способ получения общедоступной информации, «по техническим причинам» не выложенной на официальный сайт.
3. Государственными органами, органами местного самоуправления и должностными лицами для исполнения их полномочий информация может запрашиваться и получаться с использованием единой системы межведомственного электронного взаимодействия (СМЭВ).
4. Предоставление информации посредством федеральной государственной информационной системы «Единый портал государственных и муниципальных услуг (функций)».
5. С использованием системы «личный кабинет». Представляет собой персонализированный раздел сайта, к которому получает доступ авторизованный пользователь. Использование «личного кабинета» должно обеспечиваться такими обязанностями оператора, как изготовление, регистрация, перевыпуск и блокировка средств авторизованного доступа, а также формирование и ведение перечня пользователей средств авторизованного доступа.
6. Способ доступа к информации регулируется на основании соглашений. Отсылка к соглашениям характерна для полностью закрытых систем с небольшим числом пользователей, круг которых в основном составляют федеральные органы исполнительной власти.
Установление правового режима ГИС в части обеспечения прав пользователей на доступ к информации должен осуществляться по следующим направлениям.
1. Целесообразно закрепить в нормативных правовых актах, регулирующих доступ к информации в государственной информационной системе, является ли информация по умолчанию общедоступной. В противном случае перечень общедоступной информации должен быть явно сформулирован (со ссылкой на пункты иных перечней (информации, предоставляемой в систему, информации, хранящейся в системе) или отдельно).
2. Для общедоступной информации должен быть определен основной способ доступа. Отдельно должен быть определен состав информации, которая должна размещаться в форме открытых данных.
3. Для информации ограниченного доступа должны быть указаны основания такого ограничения. Сведения, размещаемые в реестрах государственных информационных систем, должны соответствовать этим положениям.
4. Категории пользователей, имеющих доступ к конфиденциальной информации, должны быть явно указаны в нормативных правовых актах. С каждой категорией пользователей должны быть явно соотнесены состав предоставляемой информации, основания предоставления такой информации (цели использования), способ доступа.
5. Оператор системы любой государственной ИС, хранящей и обрабатываемой информацию ограниченного доступа, должен иметь возможность рассмотреть мотивированный запрос любого пользователя о предоставлении доступа к такой информации. Оператор принимает решение, основываясь на требованиях законодательства о государственной и иной охраняемой законом тайне. Данное положение является универсальным и может быть закреплено в общей части субинститута правового режима ГИС.
6. Граждане и юридические лица должны иметь возможность авторизованного доступа к конфиденциальной информации о себе в государственных информационных системах (за исключением случаев, установленных федеральным законом). Поставщики информации должны иметь авторизованный доступ к конфиденциальной информации, предоставленной ими в ГИС (или в соответствующие государственные органы).
7. С точки зрения компетенции регулирующего органа федеральный законодатель, который устанавливает перечень информации, предоставляемой в информационную систему в обязательном порядке, а также на уровне общих категорий определяет состав информационного ресурса системы, вполне может определить и перечень информации, предоставляемой пользователям. Однако закрепление данных полномочий на уровне нормативных правовых актов высшего органа исполнительной власти представляется более логичным (что допускает в общем случае делегирование уполномоченному органу исполнительной власти). Это согласуется с положением статьи 14 Закона о доступе к информации, в соответствии с которой именно на этом уровне правового регулирования утверждаются перечни информации о деятельности государственных органов, органов местного самоуправления, размещаемой в сети «Интернет». Нет разницы, публикуются эти сведения на официальном сайте государственного органа напрямую или из государственной информационной системы.
Обязанность использования информации, получаемой посредством ГИС, в определенных целях и определенным образом является важной частью правового статуса пользователей ГИС.
Наиболее проблемной категорией государственных информационных систем с точки зрения правовых вопросов использования информации являются ГИС, создание которых обусловлено целью информационного обеспечения государственного управления. Суть информационного обеспечения государственного управления заключается в обеспечении должностных лиц государственных органов необходимыми сведениями для принятия управленческих решений. В алгоритмы информационной системы может быть заложена возможность создания многих отчетов: агрегирующих, статистических, аналитических, чрезвычайных (сигнализирующих о критических отклонениях в параметрах управляемого объекта) и т. д. На сегодняшний день в нормативных актах отсутствует закрепление процессов обработки информации в ГИС. Это приводит к следующим проблемам:
I. На основе анализа и обработки информации в федеральной информационной системе создаются новые данные, которые используются в государственном управлении лицами, принимающими решения. Эти управленческие решения затрагивают права и законные интересы граждан, организаций. При этом общество (в частности, те лица, на которых возложена обязанность по предоставлению информации, и те лица, интересы которых затрагиваются в принятых решениях) не знает, как именно исходные сведения обрабатываются и учитываются при принятии решений.
II. Если процедуры анализа и обработки информации в законе не урегулированы, существует значительная вероятность, что соответствующие алгоритмы не будут и реализованы при создании информационной системы. III. Основная проблема заключается в том, что если использование сведений, накапливаемых в федеральной информационной системе, нормативно не урегулировано, никто не мешает вообще ее игнорировать. То есть сведения, поставляемые в систему (или их часть), могут в принципе никогда никем не использоваться. В современном законодательстве о государственных информационных системах присутствуют, хотя и немногочисленные, примеры норм, регулирующих использование информации в ГИС Среди них можно выделить две основные группы:
1. Нормы, устанавливающие юридическое значение информации в ГИС.
– Внесение информации в систему является юридическим фактом, непосредственно влияющим на правовой статус (правовой режим) соответствующих субъектов (объектов) правоотношений.
– Для ряда систем определены условия, при соблюдении которых содержащаяся в них информация считается официальной и может использоваться для совершения юридически значимых действий. – Для некоторых ГИС специально установлен приоритет содержащихся в них сведений над сведениями из иных источников. Это значит, что при расхождении и противоречиях в сведениях официальной и достоверной будет считаться информация в ГИС.
– Содержательно близким является подход, когда информация в ГИС используется для проверки достоверности сведений, предоставленных лицом или содержащихся в иных документах.
2. Нормы, обязывающие использовать информационную систему или информацию в ГИС для решения определенных задач либо при осуществлении определенных правоотношений.
– Внесение информации в систему порождает определенные обязанности у ее пользователей. Так, внесение доменного имени или адреса сайта в реестр запрещенных сайтов или реестр нарушителей прав персональных данных обязывает оператора связи ограничить доступ к соответствующему ресурсу.
– Информация в системе или ее функционал должны использоваться при осуществлении определенной деятельности.
4. Правовой статус оператора ГИС
В соответствии с п. 12 ст. 2 Закона об информации, оператор информационной системы – гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных. Функции оператора государственной информационной системы осуществляются заказчиком, заключившим государственный контракт на создание такой информационной системы, если иное не установлено решением о создании ГИС (ч. 5 ст. 14 Закона об информации). По общему правилу операторами ГИС являются органы исполнительной власти.
Основные обязанности оператора системы, закрепленные в общей части института ГИС, сводятся к обеспечению непрерывности ее функционирования, включая восстановление после сбоев, и защите информации в системе, включая предотвращение несанкционированного доступа к информации. Эти обязанности закреплены в ч. 4 ст. 16 Закона об информации, в Постановлении Правительства РФ от 18.05.2009 № 424 «Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям» и некоторых других актах.
Анализ законодательства позволяет выявить несколько независимых групп правомочий в сфере обеспечения эксплуатации ГИС. Они различаются требованиями к правовому статусу субъектов (могут ли быть делегированы негосударственным организациям), квалификации персонала, ответственности за ненадлежащее исполнение. Выделяют четыре группы:
1. Правомочия по техническому обслуживанию ГИС, включая обеспечение непрерывности и корректности ее функционирования, в том числе корректной и бесперебойной работы средств защиты информации.
2. Правомочия по «ведению» («формированию») ГИС.
3. Правомочия, связанные с разработкой информационной системы (выполнение функции государственного заказчика, приемка системы, принятие решения о вводе системы в эксплуатацию).
4. Регулятивные полномочия в сфере организационно-технических вопросов функционирования ГИС.
Фактически всеми перечисленными правомочиями может быть наделено одно лицо (именуемое оператором ГИС, уполномоченным органом и т. п.) – и на практике это имеет место в большинстве случаев.
Представляется перспективной дальнейшая научная разработка и закрепление в законодательстве трех обособленных правовых статусов:
1. Технический оператор государственной информационной системы, осуществляющий ее эксплуатацию и исполняющий обязанности по обеспечению технического функционирования информационной системы, в том числе защиты информации в процессе эксплуатации. Эти обязанности могут быть полностью или частично делегированы подведомственным учреждениям или иным организациям, имеющим лицензию на право занятия соответствующей деятельностью.
2. Оператор государственного информационного ресурса (данный статус актуален и для тех информационных ресурсов, которые не входят в состав информационных систем), уполномоченный на ведение информационного ресурса, осуществляющий размещение (ввод) информации, контроль ее полноты и достоверности, модификацию и удаление информации, предоставление доступа к нейпользователям в соответствии с их полномочиями. Оператор информационного ресурса осуществляет защиту информации в процессе его ведения (в том числе управляя правами доступа пользователей и поставщиков информации).
3. Государственный заказчик государственной информационной системы. Этот правовой статус урегулирован в законодательстве независимо от правового статуса оператора (в том числе разделены обязанности в нормативных актах в сфере защиты информации), но на практике при подзаконном регулировании правомочия по созданию ГИС смешиваются с иными полномочиями (по эксплуатации, ведению и т. д.), что представляется технически некорректным и ведущим к потенциальным проблемам (например, при изменении подведомственности информационной системы). Роль государственного заказчика при приемке информационной системы и вводе ее в эксплуатацию особенно важна, если функционирование этой системы будет затрагивать реализацию прав и обязанностей граждан и юридических лиц. Именно заказчик должен нести ответственность за соответствие функциональных возможностей и характеристик системы требованиям, вытекающим из законодательства.
Что касается правомочий по подзаконному правовому регулированию различных вопросов, связанных с подзаконным регулированием ГИС (статус уполномоченного органа), то нет оснований связывать его с правовым статусом оператора. В сфере своих полномочий оператор информационной системы, оператор информационного ресурса и государственный заказчик принимают необходимые методические и организационно-распорядительные документы, технические регламенты и стандарты.
Совершенно независимо от этого должен определяться уполномоченный орган исполнительной власти, осуществляющий подзаконное регулирование по вопросам, затрагивающим права и обязанности участников информационного взаимодействия. Для конкретной ГИС все перечисленные статусы могут быть закреплены как за различными органами и организациями, так и за одним органом. В последнем случае вполне разумно использовать в правовых актах, устанавливающих режим информационной системы, обобщающий термин «оператор» (как и в случаях, когда за одним органом закреплено несколько ключевых статусов – например, технического оператора и оператора информационного ресурса системы).
Определение оператора ГИС и установление специальных правомочий в сфере создания, эксплуатации и (или) ведения информационной системы представляется целесообразным осуществлять на уровне нормативных правовых актов Правительства РФ, которое руководит работой федеральных министерств и иных федеральных органов исполнительной власти, контролирует их деятельность и распределяет функции между ними. Исключение составляют государственные информационные системы, создание и ведение которых возлагается на негосударственные организации – соответствующие полномочия должны устанавливаться федеральным законом.
