Цифровой Кодекс России

Цифровые финансовые активы (ЦФА) в значении, определенном отдельным федеральным законом.

Утилитарные цифровые права (право на использование цифрового контента, программного обеспечения, игровых ценностей).

Иные права, прямо признанные таковыми законом.

Не являются цифровыми правами: Официальные цифровые документы (паспорт, диплом, электронная подпись), виртуальная валюта, не признанная ЦФА, а также иные объекты, прямо исключенные из регулирования.

4. Суверенные цифровые технологии

Суверенные цифровые технологии – программное обеспечение, аппаратно-программные комплексы, средства защиты информации и системы связи, которые одновременно соответствуют следующим критериям:

Юрисдикционный контроль: Исключительные права на технологии принадлежат Российской Федерации, субъектам РФ или юридическим лицам, находящимся под юрисдикцией РФ и не контролируемым иностранными лицами из «недружественных» государств (в установленном Правительством РФ порядке).

Технологическая независимость: Архитектура, исходный код (для ПО) и производственные процессы обеспечивают возможность полного жизненного цикла (разработка, сопровождение, модернизация, производство) без критической зависимости от иностранных компонентов, ноу-хау или поставщиков.

Безопасность и верификация: Технологии прошли обязательную сертификацию и/или процедуру верификации в уполномоченных государственных органах (ФСТЭК России, ФСБ России, Минцифры России) на соответствие требованиям безопасности и отсутствие недекларированных возможностей.

Сфера применения: Обязательны или приоритетны для использования в государственных информационных системах, системах критической информационной инфраструктуры, а также при реализации национальных проектов в цифровой сфере.

5. Большие данные (Big Data)

Большие данные – совокупность структурированных, неструктурированных и частично структурированных массивов информации (данных) огромных объемов (от десятков терабайт), значительного разнообразия форматов и высокой скорости обновления (поступления), для обработки и анализа которых требуются специальные масштабируемые технологические решения (платформы).

Правовой режим зависит от состава данных:

Если большие данные содержат персональные данные, даже в обезличенном виде, их обработка подпадает под специальные требования настоящего Кодекса и ФЗ-152, включая обязательное проведение оценки последствий обработки.

Если большие данные не содержат персональных данных, на них распространяется правовой режим, установленный для информационных ресурсов и баз данных (часть 4 Гражданского кодекса РФ), с учетом требований к безопасности их обработки.

6. Искусственный интеллект (ИИ, искусственный интеллект)

Система искусственного интеллекта (ИИ-система) – комплекс программно-аппаратных решений, способный на основе предоставленных данных и заданных моделей (алгоритмов) к самостоятельному обучению, логическому выводу, прогнозированию, принятию решений и/или выполнению иных интеллектуальных задач для достижения поставленных целей без явного программирования на каждую операцию.

Классификация для целей правового регулирования (по степени автономности и потенциальному риску):

ИИ ограниченного применения (низкого риска): Системы, предназначенные для решения узкоспециализированных задач, не затрагивающих права и безопасность человека (рекомендательные сервисы, фильтры спама, системы технической диагностики оборудования).

ИИ специального назначения (среднего риска): Системы, принимающие решения, оказывающие существенное влияние на права, свободы, законные интересы граждан или на безопасность (системы кредитного скоринга, предварительной диагностики в медицине, отбора кандидатов при приеме на работу). Подлежат обязательной сертификации и аудиту.

Автономные (высокорисковые) ИИ-системы: Системы, способные в заданных рамках функционировать и принимать юридически значимые решения без постоянного непосредственного контроля человека (беспилотный транспорт, автономные системы управления КИИ, системы ведения боевых действий, алгоритмической торговли на бирже). Подлежат государственному лицензированию, обязательному страхованию гражданской ответственности и функционируют по принципу «человек-в-контуре» (возможность оперативного вмешательства и отмены решения).

Режим данных

Ключевые критерии и примеры

Правовые последствия и основные требования

1. Открытые (публичные) данные

– Отсутствие ограничений по доступу.

– Отсутствие сведений, отнесенных к иным режимам.

– Примеры: Государственные открытые данные (Open Gov Data), общедоступная научная информация, опубликованные аналитические отчеты, метеоданные.

– Обязательность публикации для государственных органов и организаций, выполняющих публичные функции.

– Предоставление в машиночитаемом формате через API.

– Свободное использование для любых законных целей.

– Невозможность установления ограничений авторским правом на факты и данные.

2. Ограниченного доступа (конфиденциальные данные)

– Наличие прямого законодательного запрета на свободное распространение.

– Необходимость защиты прав и законных интересов субъектов данных.

– Подвиды:

а) Персональные данные (всех категорий).

б) Коммерческая тайна (секреты производства).

в) Профессиональная тайна (врачебная, нотариальная, адвокатская).

г) Служебная тайна (несекретная служебная информация госорганов).

– Обязательность получения согласия субъекта или наличия иного правового основания для обработки (для персональных данных).

– Реализация комплекса мер защиты (организационных и технических), соразмерных возможному ущербу.

– Ограничение круга лиц, имеющих доступ.

– Обязанность уведомления регулятора и субъектов данных при нарушении конфиденциальности (утечке).

3. Критически важные данные

– Непосредственное влияние на безопасность личности, общества и государства.

– Связь с функционированием объектов критической информационной инфраструктуры (КИИ).

– Примеры:

а) Данные, составляющие государственную тайну.

б) Данные КИИ: топология сетей, системы управления технологическими процессами (АСУ ТП) в энергетике, на транспорте, в ЖКХ.

в) Биометрические и генетические данные в централизованных государственных системах.

г) Данные о передвижении специальных категорий лиц (судьи, сотрудники правоохранительных органов).

– Безусловный приоритет требований национальной безопасности.

– Обязательная локализация хранения и обработки исключительно на территории РФ.

– Использование только сертифицированных средств защиты информации и суверенных технологий.

– Запрет на любую трансграничную передачу, кроме строго оговоренных межправительственных соглашений.

– Максимальный уровень контроля и аудита со стороны уполномоченных госорганов (ФСТЭК, ФСБ).

Настоящий раздел устанавливает основу правового регулирования цифровой среды – систематизирует режимы обращения с данными, определяет критерии их классификации и закрепляет императивные требования к инфраструктуре их хранения и обработки в целях обеспечения цифрового суверенитета.

Статья 1.1. Классификация данных по правовому режиму

Все данные, обрабатываемые на территории Российской Федерации, в зависимости от их ценности, конфиденциальности и потенциального ущерба от несанкционированного доступа, распространения или утраты, подразделяются на следующие режимы:

Принцип «водопада» (каскадирования) режимов: Если массив данных содержит сведения, относящиеся к разным режимам, ко всему массиву применяется наиболее строгий из применимых режимов. (Пример: база данных, содержащая открытую статистику и персональные данные сотрудников, подпадает под режим «ограниченного доступа» в части этих персональных данных, которые должны быть соответствующим образом защищены.)

Статья 1.2. Принципы суверенного хранения и обработки данных

Требования к инфраструктуре зависят от режима обрабатываемых данных.

Общие принципы для всех режимов:

Учет и категорирование: Оператор обязан вести реестр (перечень) обрабатываемых данных с их классификацией по установленным режимам.

Разделение инфраструктуры: Технологическая инфраструктура для обработки данных разных режимов должна быть логически, а в случае с критически важными данными – и физически, разделена.

Резервное копирование и восстановление: Обязательность создания и регулярного тестирования резервных копий данных и планов аварийного восстановления.