Цифровой Кодекс России

ВВЕДЕНИЕ

Эпоха цифровой неопределённости и правовой вызов

Цифровая трансформация экономики, государства и общества стала главным вызовом для правовых систем по всему миру. Россия не исключение. За последние два десятилетия был принят ряд важных законов, регулирующих отдельные аспекты цифровой среды: от общих вопросов информации (ФЗ-149) и персональных данных (ФЗ-152) до безопасности критической инфраструктуры (ФЗ-187) и обращения цифровых финансовых активов. Однако эти акты разрабатывались и принимались разрозненно, часто как реакция на уже возникшие проблемы или технологические тренды.

В результате сформировалась сложная, плохо скоординированная правовая мозаика. Разные законы используют противоречивые определения одних и тех же понятий, устанавливают дублирующие или конфликтующие обязанности для субъектов, оставляют «белые пятна» в регулировании прорывных технологий (например, искусственного интеллекта, интернета вещей, больших данных). Это создаёт высокие риски для бизнеса, усложняет защиту прав граждан, затрудняет эффективный государственный надзор и, в конечном счёте, тормозит технологическое развитие страны в условиях жёсткой глобальной конкуренции и санкционного давления.

Цифровой кодекс: не замена, а системный каркас

Попытки решить эту проблему путём бесконечного внесения точечных поправок в десятки законов заведомо неэффективны. Требуется системный ответ – создание целостной правовой конструкции, которая расставит приоритеты, устранит противоречия и задаст долгосрочный вектор.

Таким ответом и должен стать Цифровой кодекс Российской Федерации. Важно подчеркнуть, что предлагаемый Кодекс не является механической заменой существующих законов. Его роль иная – стать рамочным «верховным» законом, правовым каркасом цифрового пространства России.

Принцип двухуровневой системы регулирования:

Уровень I (Рамочный, принципиальный): Цифровой Кодекс.

Устанавливает основополагающие цели (суверенитет, безопасность, развитие).

Закрепляет сквозные принципы (приоритет российского права, безопасность данных по умолчанию, этичность ИИ).

Формирует единый понятийный аппарат.

Определяет общие правовые режимы для ключевых объектов (данные, технологии, цифровые сервисы).

Распределяет компетенцию и полномочия между регуляторами.

Уровень II (Детальный, отраслевой): Действующие и будущие профильные законы.

ФЗ-149 «Об информации…» и ФЗ-152 «О персональных данных» становятся органичными составными частями Кодекса, их нормы инкорпорируются в его соответствующие разделы о данных и информации.

Гражданский кодекс РФ (часть 4) и закон «О цифровых финансовых активах» получают в Кодексе общие отсылки и принципы, на основе которых детализируют регулирование цифровых сделок и активов.

Нормы о безопасности из законов «О связи» и «О безопасности КИИ» встраиваются в единую систему требований Кодекса, формируя целостный контур безопасности.

Уголовный (УК РФ) и Административный (КоАП РФ) кодексы сохраняют санкции, однако Кодекс наполняет их составы конкретными и чёткими квалифицирующими признаками правонарушений в цифровой сфере, устраняя пробелы и двусмысленности.

Таким образом, Цифровой кодекс выполняет роль системного интегратора и верховного координатора, призванного превратить набор разрозненных правил в стройную, логичную и предсказуемую систему цифрового права России. Настоящая книга раскрывает архитектуру этого кодекса, доказывая не только его необходимость, но и практическую реализуемость как основы для технологического прорыва в условиях суверенного развития.

Настоящий Кодекс устанавливает правовые основы формирования, развития и защиты единого цифрового пространства России, определяет фундаментальные начала (принципы) цифрового права и закрепляет систему ключевых понятий, используемых в цифровой среде.

Основными целями правового регулирования в сфере цифровых отношений являются:

Обеспечение цифрового суверенитета Российской Федерации. Данная цель предполагает установление безусловного приоритета национальной юрисдикции над информационно-коммуникационной инфраструктурой, имеющей критическое значение для функционирования государства, общества и экономики. Цифровой суверенитет обеспечивается через техническую, организационную и правовую способность государства самостоятельно управлять национальным сегментом сети «Интернет», защищать цифровые активы и данные граждан, а также определять правила их использования на территории страны.

Достижение технологической независимости (импортозамещения) в критических сферах. Цель направлена на создание условий для разработки, внедрения и масштабирования отечественных решений в области программного обеспечения, аппаратного обеспечения, средств связи и защиты информации. Регулирование призвано минимизировать стратегические риски, связанные с использованием иностранных технологий, и обеспечить устойчивость национальной инфраструктуры в условиях внешних вызовов.

Гарантирование безопасности и устойчивости цифровой среды. Охватывает комплексную защиту от компьютерных атак, обеспечение устойчивой работы критической информационной инфраструктуры (КИИ), предотвращение и ликвидацию последствий киберинцидентов. Особое внимание уделяется безопасности персональных данных, защите прав субъектов данных и противодействию цифровым угрозам, направленным на подрыв конституционного строя, общественного порядка или обороноспособности страны.

Устойчивое развитие цифровой среды для личности, общества и государства. Цель фокусируется на создании инклюзивной, доступной и этичной цифровой экосистемы. Она включает в себя:

Для личности: Защиту цифровых прав граждан, обеспечение равного доступа к цифровым благам и сервисам, предотвращение цифровой дискриминации.

Для общества: Стимулирование цифровой грамотности, развитие цифровой экономики на основе честной конкуренции, поддержку инноваций и технологического предпринимательства.

Для государства: Повышение эффективности государственного управления за счет внедрения «сквозных» цифровых технологий, развитие системы предоставления государственных и муниципальных услуг в проактивном режиме («сервис по умолчанию»).

Правовое регулирование отношений в цифров

ой сфере осуществляется в соответствии со следующими принципами:

Принцип примата национальной безопасности и суверенитета. Любая деятельность в цифровом пространстве России не должна создавать угрозы конституционному строю, обороноспособности, общественному порядку и безопасности государства.

Принцип верховенства права и защиты прав человека в цифровой сфере. Цифровая среда не является пространством, свободным от правового регулирования. Основные права и свободы человека, гарантированные Конституцией Российской Федерации, подлежат защите как в реальном, так и в цифровом мире.

Принцип технологической нейтральности права. Правовые нормы должны регулировать содержание правоотношений и их последствия, а не конкретные технологии или способы их реализации. Закон устанавливает рамки для использования технологий (блокчейн, ИИ, биометрия), но не отдает предпочтение одной из них, если иное не установлено в интересах безопасности.

Принцип обеспечения безопасности данных «по умолчанию» (Security by Design). Требования к информационной безопасности и защите персональных данных должны быть интегрированы в архитектуру информационных систем и сервисов на этапе их проектирования и разработки, а не добавляться как внешнее дополнение.

Принцип локализации критически важных процессов и данных. Обработка персональных данных граждан Российской Федерации, а также данных, имеющих значение для безопасности государства и устойчивого функционирования критической информационной инфраструктуры, должна обеспечиваться с использованием баз данных, находящихся на территории Российской Федерации, в порядке, установленном настоящим Кодексом и иными федеральными законами.

Принцип открытости и прозрачности государства при защите чувствительной информации. Государственные органы обязаны обеспечивать открытый доступ к общественно значимой информации и данным (Open Data) в машиночитаемом формате, за исключением информации ограниченного доступа, перечень которой определяется законом.

Принцип этичности и контролируемости искусственного интеллекта и автоматизированных систем. Разработка и применение систем искусственного интеллекта должны исключать дискриминацию по любым признакам, обеспечивать возможность объяснения принятых решений («объяснимый ИИ») и гарантировать постоянный контроль со стороны человека в случаях, затрагивающих права и свободы личности или влекущих высокие социальные риски.

В целях единообразного применения настоящего Кодекса используются следующие основные понятия:

Цифровой суверенитет Российской Федерации – способность государства независимо и под свою ответственность осуществлять законодательное регулирование, контроль и управление национальным цифровым пространством, включая его информационно-телекоммуникационную инфраструктуру, данные, цифровые сервисы и обеспечивать их защиту от внешних и внутренних угроз.

Национальный сегмент сети «Интернет» – совокупность общедоступных информационно-телекоммуникационных сетей, сетей связи, информационных систем и ресурсов, расположенных на территории Российской Федерации, зарегистрированных в установленном порядке и управляемых с соблюдением законодательства Российской Федерации.

Цифровые права (цифровое право требования) – обязательственные и иные права, содержание и условия реализации которых определяются в соответствии с правилами информационной системы, отвечающей установленным законом признакам. Цифровые права удостоверяются путем внесения цифровой записи в реестр цифровых транзакций (распределенный реестр или иную аналогичную технологию).

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). В условиях развития технологий к ним также относятся биометрические персональные данные (физиологические, биологические характеристики человека) и обработанные алгоритмами данные о поведении и профилировании.

Критическая информационная инфраструктура (КИИ) – объекты информационной инфраструктуры, информационные системы и сети, нарушение или прекращение функционирования которых может привести к негативным последствиям в сфере государственной и общественной безопасности, экономики, здравоохранения, транспорта, связи, энергетики.

Большие данные (Big Data) – обозначение структурированных и неструктурированных данных огромных объемов и значительного многообразия, для обработки которых требуются специальные технологические решения. Правовой режим больших данных, содержащих обезличенные сведения, может отличаться от режима персональных данных.

Искусственный интеллект (ИИ) – комплекс технологических решений, позволяющий имитировать когнитивные функции человека (обучение, анализ, прогнозирование) и получать при выполнении конкретных задач результаты, сопоставимые с результатами интеллектуальной деятельности человека. В правовом контексте выделяются:

Слабый (специализированный) ИИ: Системы, предназначенные для решения одной конкретной задачи.

Сильный (общий) ИИ: Гибкие системы, способные к самостоятельному обучению и решению широкого круга задач (подлежат специальному регулированию).

Автономная система: ИИ-система, способная в заданных рамках функционировать без вмешательства человека и принимать решения, влекущие юридически значимые последствия.

Регуляторная песочница (Sandbox) – специальный правовой режим, устанавливаемый для ограниченного срока и круга участников в целях тестирования инновационных цифровых технологий, финансовых сервисов или бизнес-моделей в контролируемой регулятором среде с возможностью применения временных exemptions (освобождений) от действия отдельных норм законодательства.

Суверенные цифровые технологии – программное обеспечение, аппаратные платформы, средства защиты информации и системы связи, разработанные и производимые преимущественно на территории Российской Федерации юрисдикционно подконтрольными лицами, что обеспечивает технологическую независимость и безопасность их использования в

Правовое регулирование отношений в цифровой сфере осуществляется на основе следующих фундаментальных и взаимообусловленных принципов, определяющих дух, цели и системное толкование норм настоящего Кодекса.

1. Принцип абсолютного приоритета российского права и суверенитета в цифровом пространстве

Данный принцип является стержневым (основополагающим) и определяет границы действия всех иных норм. Он конкретизируется через следующие положения:

Безусловная юрисдикция: Российская Федерация осуществляет полную и исключительную юрисдикцию над информационно-коммуникационной инфраструктурой, физически расположенной на ее территории, включая точки обмена трафиком, серверы, сети связи. Действия, совершаемые в цифровой среде с использованием такой инфраструктуры, признаются совершенными на территории РФ, независимо от гражданства или места нахождения субъекта.

Экстерриториальное действие требований: Настоящий Кодекс и принятые в его исполнение законы применяются к иностранным организациям и физическим лицам, если их деятельность в цифровой сфере:

направлена на российских пользователей (включая использование русского языка, рублевых расчетов, таргетирование рекламы);

оказывает существенное влияние на российский рынок или затрагивает права граждан РФ;

создает угрозы цифровому суверенитету, безопасности или общественному порядку России.

Требование локализации критических процессов (как следствие принципа):

Данные: Обязательное хранение и первичная обработка персональных данных граждан РФ, а также данных, отнесенных к категории значимых для государства, на серверах, расположенных на территории России.

Офшоринг запрещен: Критически важные информационные системы (государственные, финансовые, энергетические) не могут быть выведены под управление или в юрисдикцию иностранных государств.

Точки принятия решений: Ключевые центры управления сетями связи и сегментами интернета должны находиться под оперативным контролем уполномоченных российских субъектов.

2. Принцип комплексной безопасности данных на всех этапах жизненного цикла

Безопасность данных понимается не как набор технических мер, а как сквозной правовой режим, обязательный к реализации. Принцип включает:

Security & Privacy by Design (Безопасность и Конфиденциальность на этапе проектирования): Требования к защите информации и персональных данных должны быть интегрированы в архитектуру информационной системы или сервиса до их запуска в эксплуатацию. Оценка рисков и модель угроз являются обязательными документами при разработке.

Многоуровневая классификация и защита: Устанавливается градация данных по уровню чувствительности и возможному ущербу при их компрометации (открытые, служебные, персональные, коммерческая тайна, данные КИИ, государственная тайна). Для каждого уровня определяется обязательный минимальный пакет организационных и технических мер.

Сквозная ответственность оператора (владельца данных): Организация, определяющая цели и способы обработки данных (оператор), несет полную ответственность за их безопасность на всем пути: от сбора до уничтожения, включая этапы передачи субподрядчикам (обработчикам).

Упреждающий мониторинг и обязательное информирование: Обязательность создания систем мониторинга киберугроз для операторов КИИ и крупных цифровых платформ. В случае инцидента, ведущего к утечке данных, существует обязательство в ультракороткие сроки уведомить регулятора (Роскомнадзор, ФСТЭК) и потенциально пострадавших субъектов данных.

3. Принцип этичности, подотчетности и контролируемости технологий (на примере ИИ)

Данный принцип устанавливает гуманистические и правовые границы для разработки и внедрения автономных систем, алгоритмов и технологий, способных к самостоятельному принятию решений.

Запрет на скрытое, предвзятое и дискриминационное воздействие:

Алгоритмы и модели ИИ должны быть свободны от дискриминации по расовому, национальному, половому, религиозному и иным защищаемым законом признакам.

Запрещено использование «темных паттернов» (манипулятивных интерфейсов) и алгоритмов, эксплуатирующих уязвимости (например, детскую психику, игровую зависимость).

Требование «объяснимости» и прозрачности (Explainable AI – XAI): Для систем ИИ, принимающих решения, затрагивающие права и свободы человека (отказ в кредите, оценка на экзамене, диагностика в медицине), должна существовать техническая и юридическая возможность предоставить интерпретируемое объяснение логики такого решения по запросу заинтересованного лица или регулятора. Запрещено использование «черных ящиков» в социально значимых сферах.

Примат человеческого контроля (Human-in-the-Loop/Over-the-Loop):

В критических сферах (военная деятельность, правосудие, медицина, управление транспортом) окончательное решение всегда остается за человеком. ИИ выступает лишь в роли средства анализа и поддержки принятия решений.

Определяется перечень «высокорисковых» систем ИИ, подлежащих обязательной сертификации и государственному аудиту.

Этические комитеты и оценка воздействия: Крупные проекты по внедрению ИИ и больших данных, особенно в государственном секторе, должны проходить процедуру предварительной этической экспертизы независимыми комитетами с участием юристов, философов, социологов и представителей гражданского общества.

4. Принцип «открытости по умолчанию» государства при безусловной защите критической информации

Этот принцип балансирует между необходимостью прозрачности власти и защитой государственных интересов.

Open Government Data как обязанность: Государственные органы обязаны в машиночитаемом формате и через единый портал публиковать все данные, созданные или собранные за счет бюджетных средств, за исключением прямо перечисленных в закрытых перечнях (см. ниже). Приоритет отдается высокоценным наборам данных (госреестры, статистика, данные о госзакупках, экологическая обстановка).

Формализованный и узкий перечень исключений: Информация ограниченного доступа определяется исчерпывающим образом через четкие критерии:

Государственная тайна (по Закону о гос. тайне).

Сведения, составляющие критическую цифровую инфраструктуру (детальные карты и параметры работы КИИ).

Данные, прямо связанные с ведением оперативно-розыскной деятельности, дознания и следствия.

Персональные данные без согласия субъекта (обработка регулируется отдельно).

Коммерческая тайна, полученная государством от частных компаний.

Проактивная публикация и доступность: Государство не просто предоставляет данные по запросу, но активно создает сервисы и инструменты (API) для их использования бизнесом, научным сообществом и гражданами. Отказ в предоставлении несекретных данных должен быть мотивирован и может быть обжалован.

Стимулирование инноваций на основе открытых данных: Законодательно закрепляются льготы и упрощенные процедуры для технологических компаний и НИИ, создающих продукты и услуги на базе открытых государственных данных.

Эти четыре принципа образуют единое смысловое поле Кодекса: суверенитет задает границы, безопасность обеспечивает устойчивость, этичность определяет гуманитарные рамки, а открытость – вектор развития и доверия общества к цифровой трансформации.

В целях единообразного понимания и применения норм настоящего Кодекса используются следующие основные понятия. Данные определения носят легальный (законодательно установленный) характер и являются основой для дальнейшей детализации в соответствующих разделах.

1. Цифровой суверенитет Российской Федерации

Цифровой суверенитет – неотъемлемое и исключительное право государства в лице уполномоченных органов осуществлять на своей территории независимую политику в сфере создания, развития, регулирования, контроля и защиты национального цифрового пространства. Данное право реализуется через:

Законодательный приоритет: Установление обязательных для всех субъектов правил функционирования цифровой среды на основе Конституции РФ и настоящего Кодекса.

Операционно-технический контроль: Способность обеспечивать устойчивое и безопасное функционирование критически важных элементов информационно-телекоммуникационной инфраструктуры, включая точки обмена трафиком, системы доменных имен и маршрутизации в национальном сегменте сети «Интернет».

Юрисдикционную власть: Применение мер принуждения и защиты нарушенных прав в цифровой сфере, независимо от юрисдикции или местонахождения нарушителя, если последствия его действий проявились на территории РФ или затрагивают интересы ее граждан и организаций.

Ключевой признак: Способность государства гарантировать целостность, доступность и безопасность национального цифрового пространства в условиях внешнего давления или дестабилизирующих воздействий.

2. Национальный сегмент сети «Интернет»

Национальный сегмент сети «Интернет» – это технологически и организационно обособленная часть глобальной информационно-телекоммуникационной сети, функционирующая на территории Российской Федерации, которая включает в себя:

Инфраструктурную компоненту: Общедоступные сети связи, точки обмена интернет-трафиком, центры обработки и хранения данных, а также иные технологические ресурсы, физически расположенные на территории РФ.

Административную компоненту: Систему доменных имен в зоне .ru, .рф и иных доменах российского регистра, национальную систему маршрутизации трафика, реестр российских информационных ресурсов.

Ресурсную компоненту: Информационно-телекоммуникационные сети, информационные системы и информационные ресурсы (сайты, сервисы, платформы), зарегистрированные и администрируемые в соответствии с законодательством РФ, а также их пользователи.

Цель выделения: Обеспечение возможности автономной (суверенной) работы сегмента в случае невозможности взаимодействия с зарубежными сегментами сети «Интернет».

3. Цифровые права (цифровые активы)

Цифровое право – имущественное право, удостоверенное электронной (цифровой) записью в информационной системе (включая распределенный реестр, технологию блокчейн), которое дает его обладателю возможность требовать исполнения обязательства или передачи иного объекта гражданских прав. К цифровым правам, в частности, относятся:

Токенизированные права требования (например, на товар, услугу, результат работы).