Давид Горелишвили

О «неизбежности» тотального контроля и замене имени.
(по результатам монастырских бесед)

Получилось так, что последние три недели, каждые выходные я проводил в одном из московских монастырей. Не знаю насколько этично эксплуатировать интеллектуальный потенциал священства, но раз уж Господь так управил, то, видимо, так было нужно. Обычно я не гружу здесь читателей всякими личными впечатлениями, но без этой короткой вводной части ход дальнейших рассуждений может быть неправильно понят.

Смысл нижеследующего сводится к тому, что СПУН может действительно стать либо системой тотального жёсткого контроля и управления людьми. Или же, напротив, из СПУН можно сделать некую интерактивную систему политического самообслуживания граждан. Все дальнейшие интеллектуальные упражнения о том, как не допустить первое и максимально приблизиться ко второму.

Далее тезисно:

1. ИМЯ

Присвоение номера персональным данным действительно является заменой имени, если один и тот же номер присваивается любым персональным данным человека во всех системах. Это очевидно и без долгих рассуждений, поскольку имя собственное и есть то, что выделяет человека как личность из общества ему подобных, т.е. то, что однозначно определяет личность и обозначает всё, что этого человека отличает от других людей. Личность человека – это единственное, что одновременно и уникально, и неизменно. Человек может поменять имя, гражданство, пол и даже тело (теоретически), но личность – это то, что останется неизменным.

Если мы нумеруем некие данные, то мы должны чётко отделить именно эти данные. Например, у паспорта есть номер, но это номер паспорта. При замене паспорта выдаётся новый паспорт, имеющий новый номер. Номер паспорта не является номером человека и даже не является номером персональных данных, содержащихся в паспорте, поскольку уникальность (изменение/неизменность) номера паспорта не находится в прямой и жёсткой зависимости от изменений данных в нём.

Отказ от государственного регистра (сиречь единых для всех систем учёта идентификаторов) позволяет избежать объединения персональных данных в одну большую метабазу. Наглядным тому подтверждением служит то, что СПУН-2 вовсе не будет содержать персональных данных (иного способа отказаться от госрегистра просто не существует).

Вывод:
Номер может быть присвоен неким персональным данным и этот номер не будет номером человека, если объём и состав этих данных чётко ограничены и не могут быть изменены произвольным образом. Получается, что мы имеем три ключевых фактора (объём, состав и изменения персональных данных) формирования нумерованных персональных данных, исходя из которых, можно уверенно говорить о том присваивается номер только персональным данным или же человеку в целом.

2. ОБЪЁМ

Понятно, что если номер присваивается определённому объёму персональных данных, то любое изменение этого объёма должно повлечь изменение и номера. Если номер уникален, то и объём должен быть уникален, либо номер будет присваиваться не объёму персональных данных, а чему-то другому, например, досье (файлу), содержащему этот объём или самому человеку, чьи персональные данные содержаться в досье.

Если номер присваивается досье, то любое копирование этого досье должно повлечь присвоение нового номера каждой новой копии. Иначе это будет уже не номер досье или это будет уже не уникальный номер. Либо данные в новой копии должны быть идентичны данным в оригинальном досье, т.е. любое изменение объёма в оригинальном досье должно приводить к синхронному изменению во всех копиях.

Если номер присваивается человеку, то всё, что касается этого человека в данной системе, будет иметь этот номер, независимо от количества и объёма персональных данных. В этом случае различные носящие один и тот же номер копии и копии с копий досье вполне могут содержать различные, вероятно даже противоречивые сведения. А обеспечение непротиворечивости во многих случаях будет сводиться к различным незаконным ограничениям прав гражданина.

Вывод:
Даже если в разных системах персональным данным будут присвоены разные уникальные (в рамках каждой системы) номера, это вовсе не будет означать, что имя человека не заменяется на номер в рамках этих систем. Получается, что человеку может быть присвоено много уникальных номеров, заменяющих имя в каждой из этих систем (подобно тому, как человек может иметь одновременно «официальное» зарегистрированное в ЗАГС имя и вместе с тем, другое имя для родственников, а также дворовую кличку, уголовное погоняло, сценический псевдоним и т.д.).

Для нетерпеливых поясняю, что вышеизложенное вовсе не заводит СПУН в тупик – напротив, позволяет чётче отделить что есть что и разработать вполне работоспособную систему, использующую номера досье или номера персональных данных (оба варианта вполне возможны) без нарушений прав граждан. Однако, есть вероятность, что придётся переделывать многие пилотные системы (хотя бы те, которые наиболее для граждан актуальны).

3. СОСТАВ

Если уникальный номер присваивается определённому составу персональных данных, то изменение объёма данных (при неизменном составе) не должно повлечь изменения номера этого состава. Более того, номер вполне может сохраняться и при производстве любого количества копий и даже при последующем внесении различных (для разных копий) изменений в копии при сохранении неизменности состава.

Однако в этом случае надо чётко отслеживать порядок изменений самих данных. Фактически, если номер присваивается составу персональных данных, то ключевым фактором становится то, кем и для чего именно этот состав персональных данных используется в купе с тем, кто и как меняет объём персональных данных.

Например, пенсионный номер должен быть именно пенсионным или налоговым, т.е. номером, который присваивается определённому составу персональных данных в определённой системе учёта. При этом, присваивается ли номер персональным данным или самому человеку зависит не от состава (состав должен быть неизменен), а от порядка изменения объёма данных, о чём речь пойдёт ниже.

Если уникальный внутрисистемный номер присваивается некоему составу персональных данных человека, то надо чётко разделить операции с этими данными на два принципиально различающихся класса (Вот чем мне не нравится закон «О персональных данных» - и то и другое, теперь будет называться «обработкой персональных данных»):

При обработке и состав, и объём должны быть неизменны, поскольку иначе непонятно какому именно массиву данных присвоен номер (если, конечно, номер присвоен не самому человеку).

При внесении изменений в объём персональных данных, напротив, не должна осуществляться их обработка (надеюсь ясно, что под обработкой здесь следует понимать их использование для каких либо расчетов, выдачи справок и т.д. - из-за глупой фразы в законе, тавталогии/двусмысленности избежать не могу). Обрабатываться (в смысле использоваться) может только тот массив данных, которому уже присвоен номер. Иначе это уже не номер данных, а номер человека. В автоматизированном режиме отождествляться могут только сами данные (об этом я уже много раз писал), но никак не человек. Если система в автоматизированном режиме идентифицирует человека, а не законченный (поименованный номером) массив данных, то это означает, что номер присвоен не данным, а самому человеку.

Как ни парадоксально, но то, что сегодня в системах учёта используются устаревшие реляционные (табличные) базы данных – это большое благо. Такого рода системы учёта наилучшим образом обеспечивают ограничения по составу персональных данных.

Вывод (несколько преждевременный):
Мало отказаться от единых идентификаторов (это необходимое, но недостаточное условие), нужно ещё и построить инфраструктуру так, чтобы любая система учёта идентифицировала и обрабатывала только законченные массивы данных. Как следствие из этого вывода, получаем недопустимость пополнения и обработки данных в реальном времени. Даже в случае автоматизированного сбора персональных данных, необходимо, чтобы перед каждой обработкой массива персональных данных, данные предварительно включались в общий массив персональных данных с журналированием изменений и присвоением обновлённому (но не изменённому) составу персональных данных единого для данной системы учёта уникального номера (речь о повторном присвоении того же номера). И наоборот, в ходе обработки (здесь имеется в виду использование) персональных данных, изменение их объёма недопустимо. Иначе мы и получим присвоение номера не данным, а человеку, что в свою очередь неминуемо сопряжено с идентификацией человека. Притом, что идентифицировать человека невозможно (об этом я уже достаточно много писал в других текстах).

4. ИЗМЕНЕНИЯ

Отсюда начинается самое интересное. Если номер присваивается некоему составу (и переписваивается с каждым изменением объёма) персональных данных, то наиболее актуальным является то, каким образом меняются персональные данные.

Для ясности сделаю небольшое отступление. В бумажных системах сами граждане носятся со справками из одной системы в другую. Сами собирают весь этот ворох бумаг и сами их носят от чиновника к чиновнику. Основное неудобство не в очередях, как это принято считать, а в том, что этих бумажек очень много и каждое ведомство стремится увеличить их количество. Вместо того, чтобы сократить количество используемых документов исполнительная власть вводит электронные системы. Фактически дальнейшее увеличение количества используемых чиновниками документов без их перевода в электронную форму уже стало невозможным. В этом смысле электронные системы – это очевидное зло, которое позволяет преодолеть естественный количественный предел использования документов при принятии должностных решений. Иногда количество перерастает в качество, когда человек сталкивается не просто с неудобством, но и с невозможностью представить тот или иной документ. Впрочем, применительно к данному тексту, достаточно лишь отметить это как факт.

В бумажных системах точно также нумеруются документы. Как правило, используется двойная нумерация – исходящий номер проставляется наряду с входящим. Точно также нумеруются досье с использованием как цифровых (по годам), таки алфавитных (по фамилиям или по отделам) символов. Но при этом никогда людям номер не присваивается, что крайне редко приводит к ошибкам. Кстати, почти все известные мне ошибки с однофамильцами были обусловлены тем, что этих однофамильцев представлял один и тот же человек. Например, когда я помогал армянам бежавшим из Азербайджана, у меня были одинаковые доверенности чуть ли не от дюжины Тигранов Петросянов (имя и фамилия изменены), в результате чего чиновники из миграционной службы несколько раз путали документы (клали их не в те папки, высылали мне не те ответы и т.д.). Притом, что когда эти Петрсяны самолично обращались в ту же миграционную службу чиновники никогда ничего не путали. Видимо сказывается ещё и человеческий фактор – при всей однофамильности, лица, возраст, обстоятельства и ещё что-то неуловимое позволяло не перепутать их между собой (кстати, на номер паспорта никто никогда внимание не обращает).

В бумажных системах присваивать людям номер бесполезно именно потому, что человек лично участвует в делопроизводстве, хотя и стоит по другую сторону чиновничьего окна. Он лично берёт справку у одного чиновника и почти всегда перечитывает эту справку, а в случае надобности требует исправить ошибку или переделать справку по той форме, по которой требует другой чиновник, либо, если это возможно просит оформить документ так, чтобы он наилучшим образом способствовал разрешению его дела в другом ведомстве. Конечно, не обходится без взяток (особенно если гражданину нужно, что-либо добавить к имеющимся сведениям или скрыть часть информации о себе). Бывают случаи, когда люди, получив документ у одного чиновника, незаконно сами вносят в него изменения перед тем как представить другому чиновнику. Люди иногда многократно ходят от одного чиновника к другому, требуя переделать уже выданные документы таким образом, чтобы дело в целом разрешилось благополучно для гражданина.

Однако при всех этих издержках и неудобствах при бумажном документообороте человек почти всегда знает какие документы и с каким содержанием представлены тому или иному чиновнику. Иными словами, гражданин контролирует процесс сбора документов, что позволяет избежать многих управленческих ошибок. Неслучайно наибольшей убедительностью (в юридическом смысле) пользуется именно судебный процесс, где человек принимает максимальное участие в принятии решения.

К этому надо добавить и то, что при каждой подаче документа человек представляет ещё и паспорт, а значит, чиновник параллельно с принятием документов ещё и устанавливает личность. Именно устанавливает, наблюдая перед собой живого гражданина, а не идентифицирует по каким либо персональным данным.

Возвращаясь к нашей теме и сравнивая электронные системы с бумажными, можно сделать вывод о том, что недопустимость присвоения человеку номера наряду с невозможностью идентификации человека должны сочетаться с возможностью человека контролировать изменения объёма своих персональных данных как количественно, так и качественно.

Собственно от того, каким образом меняются данные как раз и зависит кто кого контролирует – система человека или человек систему. Ведь ясно же, что раз на основании содержащихся в системе данных принимаются решения, касающиеся человека, то и данные не должны изменяться без реального обращения человека к системе.

Одно дело, когда без ведома человека обрабатываются уже имеющиеся в системе данные, а другое дело, когда данные в системе заочно меняются. Например, человек с момента последнего представления им данных мог жениться, найти давно потерянного ребёнка, о котором ни в одной системе нет никаких сведений, заболеть, без обращения к врачу или умереть. Если персональные данные человека меняются заочно, не считаясь с реальными обстоятельствами дела, то и номер присваивается не этим данным, а человеку (поскольку решения принимаются не в отношении данных, а в отношении человека). И наоборот, если данные без ведома и участия человека в системе не изменяются, то номер присваивается именно этим данным (по определению, сами персональные данные, безусловно, относятся к человеку). В этом случае чиновники оперируют этими данными осознавая, что они актуальны только на момент последнего обращения самого человека, понимая также и то, что с того момента реальные обстоятельства могли измениться.

Здесь нет ни сложностей, ни противоречий – если человек не обращается, то и решений в отношении него принимать не нужно.

По большому счёту, человеку нужно, чтобы власть вовремя реагировала на его обращения и в то же время не вспоминала о нём тогда, когда это не нужно самому человеку, а значит без ведома человека никакие данные о нём не должны изменяться.

Ещё один дополнительный вывод в том, что было бы правильнее, если бы СПУН не позволял чиновникам обмениваться данными без ведома гражданина и в то же время обеспечивал человеку возможность самостоятельно санкционировать частичное предоставление данных из одной системы в другую. Например, хочет он получить пособие - санкционирует (вернее инициирует) передачу данных из системы ЗАГС в систему соцобеспечения, а если не желает, то не санкционирует.

Или ещё интереснее пример - надо человеку зарегистрировать рождение ребёнка - санкционирует предоставление данных из медицинской базы в базу ЗАГС, а если по какой то причине не надо, то не санкционирует и некоторое время воспитывает ребёнка без регистрации рождения (что и происходит в настоящее время). Пример неслучайный - могу назвать несколько реальных случаев, когда людям не нужно было "светить" рождение ребёнка.

В одном случае молодая женщина, чтобы выйти замуж (не хотела показывать рождение у неё ребёнка) некоторое время не регистрировала рождение ребёнка, с расчётом на то, что в случае заключения брака ребёнок будет зарегистрирован как сын её ещё не пожилых родителей (в итоге брак сорвался и она почти с годовым опозданием зарегистрировала ребёнка как своего).

В другом случае семья горе-бизнесмена всерьёз опасалась криминального преследования, что, кстати, спровоцировало преждевременные роды (надо же так попасть).

Ещё один случай - это когда слишком юная пара родила ребёнка, которого и вовсе зарегистрировали как ребёнка семейного старшего брата молодого отца (кстати, нередкое явление).

На все подобные решения людям нужно время.

Что уж говорить о менее серьёзных, чем ЗАГС делах, где система учёта может немножко подождать или вовсе обойтись без данных.

Разумеется, речь здесь не о расследовании преступлений или оперативно розыскных мероприятиях - там внесение изменений без ведома человека само собой разумеется.

http://david-gor.livejournal.com/13457.html