Единый федеральный информационный регистр, содержащий сведения о населении: читаем закон

Единый федеральный информационный регистр, содержащий сведения о населении: читаем закон

8 июня, в день подписания президентом, вступил в силу Федеральный закон от 08.06.2020 № 168-ФЗ « О едином федеральном информационном регистре, содержащем сведения о населении Российской Федерации » (дальше для краткости буду называть его Единый регистр населения).
Правда, «вступил в силу» – это, в данном случае, слишком громко сказано. Пока только дана отмашка на создание регистра, само вступление закон в силу в полном объеме произойдет только с 1 января 2026 года и разбито на несколько этапов: с 1 января 2022 года, 2023 года, 2024 года, 2026 года.
Для того, чтобы закон заработал, необходимо принятие целого ряд нормативных правовых актов Президентом и Правительством, причем содержание части из них пока совершенно не ясно.
Единый регистр формируется и ведется ФНС России, она же является оператором этой информационной системы.
В Единый регистр населения вносятся две категории сведений: первая - это записи о физическом лице – ФИО, даты и места рождения и смерти, пол (в том числе  сведения о его изменении),сведения о семейном положении, сведения о гражданствах и выходе из них, о наличии документа на право постоянного проживания в иностранном государстве. Не так и много, как видно.
Вторая категория – не сами сведения, а идентификаторы записей о физическом лице из других систем госорганов и внебюджетных фондов, их гораздо больше.
На самом деле регистра два: один содержит все перечисленные выше сведения, а другой, хранящийся обособленно, – обезличенные персональные данные. В дополнение к персональным данным, полученным в результате обезличивания, о которых я не так давно писал , появляется еще одна новая сущность. Одно ли это и то же или разные сведения – совершенно не понятно, поскольку, как и в законе о проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта, в новом законе нет определения того, что это означает, и как именно должно осуществляться обезличивание. И даже нет поручения кому бы то ни было определить такой порядок для Единого регистра населения.
При этом необезличенный регистр делится на части. В первой части содержатся сведения о простых смертных, во второй, формируемой обособленно, – сведения о лицах, которым предоставляется государственная защита. Делается это, как указано в части 12 статьи 8 закона, в целях обеспечения безопасности государства, а также прав и свобод этих самых отдельных физических лиц.
К обезличенному регистру будут получать доступ органы власти, которым нужны статистические данные и которые не занимаются предоставлениям персонифицированных услуг населению.
В статье 10 определяется закрытый перечень органов и организаций, предоставляющих сведения в Единый регистр населения: МВД, Минобороны, Минкомсвязи (или Минцифры, как стало модно его называть), Минобрнауки, Рособрнадзор, ФНС, Росморречфлот, Роструд, ПФР, ФСС, ТФОМС.
Но вот в части 15 статьи 8 указано, что сведения, предусмотренные частью 2 статьи 7 закона и ранее не учтенные в государственных информационных системах органов государственной власти, органов управления государственными внебюджетными фондами, могут вноситься в Единый реестр населения ФСБ, СВР, ФСО и «иными органами, уполномоченными на решение задач в области обеспечения безопасности Российской Федерации».
Я, конечно, могу предположить, что это за сведения, но лучше дождаться, как это предусмотрено законом, указа Президента, определяющего перечень таких органов, и постановления Правительства, определяющего порядок предоставления сведений.
Еще один интересный момент – все, что предоставляется в Единый регистр населения и хранится в нем, каждая запись, должны заверяться усиленной квалифицированной электронной подписью, которую необходимо иметь возможность проверить. Похоже, о том, что ключ такой подписи и сертификат ее проверки имеют ограниченный срок действия (очень ограниченный), что криптография для электронной подписи периодически меняется, что СКЗИ снимаются с производства и утрачивают сертификаты соответствия, законодатели не задумывались. Теперь то, как решить эти проблемы (цитирую: «обеспечивается подтверждение … действительности усиленных квалифицированных электронных подписей», при этом из текста закона следует, что обеспечивается вечно), должно очень быстро придумать правительство. Причем изменений в законе «Об электронной подписи» закон о Едином регистре населения не предполагает.
Весьма интересный подход предлагается к восстановлению записей в Едином регистре населения. Понятия резервное копирование, резервная копия, территориально распределенная система резервирования в законе не упоминаются. Но зато написано, что запись федерального регистра сведений о населении подлежит восстановлению на основании сведений, направляемых в уполномоченный орган органами и организациями, указанными в статье 10 закона. Запись должна быть восстановлена полностью, но частичное восстановление записи допускается в исключительном случае, если ФНС были исчерпаны все возможные способы получения сведений о физическом лице в целях восстановления записи. При этом, вместо определения порядка резервного копирования и восстановления данных предложено поручить правительству определить перечень способов получения сведений о физическом лице в целях восстановления записи Единого  регистра населения и правила их применения, в том числе порядок взаимодействия с органами и организациями, предоставляющими сведения в регистр.
С защитой данных в регистре все очень строго. Никаких оценок соответствия средств защиты информации, только сертификация, о чем прямо написано в законе.
Ну, и, как обычно, вишенка в конце. К сведениям о себе любимом субъект сможет получить доступ только после полного формирования регистра, с 1 января 2026 года, и при условии, что у него есть учетная запись на портале госуслуг. До этого – ни-ни.
Alt text

Михаил Емельянников

Блог известного российского эксперта в области информационной безопасности, защиты персональных данных, коммерческой тайны, государственного регулирования охраны конфиденциальности. Комментарии к «громким» событиям, связанным с утечкой данных и взломом компьютерных сетей.